Aktualności

Z raportu UODO;

“W 2020 r. Urząd Ochrony Danych Osobowych dokonał analizy 7507 zgłoszeń naruszeń m.in. pod kątem wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych.

Spośród 7507 zgłoszeń naruszeń, które wpłynęły w 2020 r, 4661 zostało zgłoszonych przez podmioty sektora prywatnego, 2691 przez podmioty sektora publicznego, zaś około 155 zgłoszonych w międzynarodowym systemie informatycznym (IMI). W przypadku sektora prywatnego najwięcej zgłoszeń napłynęło od podmiotów: telekomunikacyjnych – 2104, ubezpieczeniowych – 792, banków i podmiotów finansowych – 472, służby zdrowia – 272. W sektorze publicznym zawiadomienia o incydentach z danymi osobowymi najczęściej nadsyłały: jednostki samorządu terytorialnego – 382, służby mundurowe – 163, administracja rządowa – 133.

Dla porównania w roku 2019 r. Urząd Ochrony Danych Osobowych dokonał analizy 6039 zgłoszeń naruszeń m.in. pod kątem wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, w tym 3894 naruszenia zostały zgłoszone przez podmioty sektora prywatnego, zaś 2145 przez podmioty sektora publicznego.

Wzrost liczby zgłoszeń naruszeń ochrony danych osobowych w 2020 r. wynika z jednej strony z coraz większej świadomości administratorów, co do ich obowiązków wynikających z art. 33 oraz 34 rozporządzenia 2016/679, z drugiej – z obawy przed konsekwencjami, o których mowa w art. 58 oraz 83 ust. 4, 5 i 6 rozporządzenia 2016/679.

W zgłoszeniach naruszeń przodowały podmioty prywatne, w szczególności prowadzące działalność w sektorach telekomunikacyjnym, ubezpieczeniowym oraz finansowym.

W przypadku podmiotów publicznych najczęściej zgłaszano naruszenia w jednostkach samorządu terytorialnego, służbach mundurowych oraz administracji rządowej.

W 2020 r. nastąpił wyraźny wzrost zgłaszanych naruszeń z sektora służb mundurowych. Obowiązek zgłoszenia naruszenia ochrony danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, określony w art. 44 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, został odmiennie uregulowany przez ustawodawcę i uzależniony od wystąpienia ryzyka niezależnie od poziomu jego wysokości. Zgodnie z art. 44 ww. ustawy obowiązku zgłoszenia nie stosuje się, jeżeli nie wystąpiło ryzyko naruszenia praw i wolności osób fizycznych. Natomiast przesłanką zwalniającą administratora danych z obowiązku zgłoszenia naruszenia ochrony danych osobowych, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, jest małe prawdopodobieństwo, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Zwiększona świadomość administratorów przetwarzających dane w związku z zapobieganiem i zwalczaniem przestępczości, co do konieczności zgłaszania naruszeń niezależnie od poziomu występującego ryzyka, niewątpliwie znalazła swoje odzwierciedlenie we wzroście zgłaszanych naruszeń w sektorze służb mundurowych”

Z raportu UODO na 2020 rok;

“Sygnaliści W 2020 r. Prezes Urzędu został poinformowany w 224 przypadkach o zdarzeniach naruszających bezpieczeństwo danych przez podmioty inne niż administratorzy danych. Często były to osoby, których dotyczyło naruszenie danych osobowych lub osoby, które w sposób niezamierzony weszły w posiadanie danych dla nich nieprzeznaczonych. Zdarzały się przypadki, w których na podstawie sygnałów uzyskanych w powyższy sposób Prezes Urzędu ustalił, że administrator danych, mimo świadomości wystąpienia naruszenia, nie poinformował o tym organu nadzorczego. Najczęściej brak dokonania zgłoszenia wynikał z błędnie ocenionego przez administratora danych poziomu ryzyka naruszenia praw lub wolności osoby fizycznej, od którego uzależniony jest obowiązek dokonania zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu. Przyczyny niezgłoszenia niektórych incydentów znajdowały również swoje źródło w braku odpowiedniego wdrożenia wewnętrznych procedur w zakresie identyfikowania naruszeń 147 i postępowania w przypadkach naruszenia bezpieczeństwa danych, czy braku świadomości pracowników co do zdarzeń naruszających bezpieczeństwo danych w kontekście konieczności zgłoszenia takiego zdarzenia przełożonym. Natomiast świadome i celowe podjęcie decyzji o zaniechaniu zgłoszenia naruszenia ochrony danych osobowych w obawie przed ewentualnymi konsekwencjami są szczególnie naganne i takie zachowania były oraz będą przedmiotem szczególnej analizy Prezesa Urzędu.”

SPRAWOZDANIE Z DZIAŁALNOŚCI PREZESA URZĘDU OCHRONY DANYCH OSOBOWYCH w ROKU 2020

Sprawozdanie stanowi wykonanie art. 59 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE oraz art. 50 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych1 .

Na stronie UODO pojawił się kolejny komunikat o nałożonej karze w wysokości ponad 363 tys. zł;

“Obowiązek zawiadomienia osoby fizycznej o naruszeniu ochrony danych osobowych nie jest uzależniony od zaistnienia negatywnych konsekwencji dla takiej osoby, ale od samej możliwości ich wystąpienia – podkreślił organ nadzorczy w decyzji nakładającej na Bank Millennium S.A karę w wysokości ponad 363 tys. zł.

UODO o naruszeniu ochrony danych dowiedział się ze skargi, jaka wpłynęła na Bank. Wynikało z niej, że doszło do zgubienia przez firmę kurierską korespondencji z danymi osobowymi, takimi jak: imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny nadawany klientom banku.

Skarżący zostali o tym fakcie powiadomieni przez Bank, ale informacje na ten temat nie były wystarczające – nie spełniały wymagań określonych w RODO. W toku sprawy okazało się, że administrator danych nie wypełnił obowiązków, jakie na nim ciążą w związku z naruszeniem ochrony danych osobowych. Bank uznał, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie, dlatego nie zgłosił tego naruszenia organowi nadzorczemu oraz nie zrealizował w pełni obowiązku związanego z powiadomieniem osób, których dane dotyczą.

Tymczasem do UODO trzeba zgłaszać te z incydentów, w przypadku których istnieje prawdopodobieństwo (wyższe niż małe) szkodliwego (niekorzystnego) wpływu na prawa lub wolności osób, których dane dotyczą. Gdy to ryzyko jest wysokie, to o naruszeniu trzeba także powiadomić osoby, których dane dotyczą. Te ryzyka to np.: kradzież lub sfałszowanie tożsamości, straty finansów, naruszenie dobrego imienia. Szeroki zakres danych zawartych w korespondencji może narazić osoby dotknięte tym incydentem na takie konsekwencje.

UODO zwrócił uwagę, że gdyby w omawianej sprawie administrator powiadomił organ nadzorczy, to dostałby wówczas informację, że należy także powiadomić o naruszeniu osoby. Co ważne UODO wskazał, że z punktu widzenia przepisów o ochronie danych osobowych, biorąc pod uwagę możliwość szkodliwego wpływu na prawa lub wolności osób, nie jest istotne czy nieuprawniony odbiorca w istocie wszedł w posiadanie danych i się z nimi zapoznał, ale sam fakt, że wystąpiło takie ryzyko. Nie bez znaczenia jest także kwestia zakresu danych osobowych objętych naruszeniem, a więc nie tylko imienia i nazwiska, ale także numeru PESEL, który powinien podlegać ochronie. W omawianej decyzji organ nadzorczy nie tylko nałożył karę na administratora, ale nakazał również zawiadomienie osób poszkodowanych naruszeniem w sposób określony w art. 34 ust. 2 RODO.

UODO decydując o nałożeniu kary wziął pod uwagę m.in. to, że w toku postępowania Bank w dalszym ciągu nie zrealizował obowiązków związanych z naruszeniem, jak i niezadowalający stopień współpracy z organem nadzoru, umyślność działania oraz charakter i wagę naruszenia. Wysokość kary w ocenie organu nadzorczego spełni funkcję represyjną, gdyż nie tylko ten administrator, ale i inni będą prawidłowo wywiązywać się z obowiązków związanych z naruszeniami ochrony danych.”

Pełna treść decyzji pod linkiem.