PUODO: Kilkanaście tys. zgłoszeń naruszenia ochrony danych osobowych

Mirosław Wróblewski, prezes UODO, przedstawił Sprawozdanie z działalności Prezesa UODO w 2023 roku w czasie ostatniego posiedzenia Sejmu.

Dokument dotyczy dostosowania się podmiotów do art. 59 RODO oraz art. 50 ustawy z 10 maja 2018 r. o ochronie danych osobowych i pokazuje ogólny stan świadomości rynku pod kątem obowiązujących regulacji. Część z nałożonych kar dotyczy również incydentów, do których doszło, mogących być wynikiem niezastosowania przez organizacje odpowiednich mechanizmów cyberbezpieczeństwa.

Naruszenie danych osobowych

Jak wynika ze sprawozdania, w 2023 roku do Urzędu Ochrony Danych Osobowych wpłynęły ponad 6962 skargi (o 33 skargi mniej niż w 2022), które obejmowały zarówno np. sprawy sąsiedzkie (takie jak monitoring wizyjny na prywatnych posesjach i klatkach schodowych), przetwarzanie danych przez pracodawców (dot. np. przechowywania CV), przez instytucje finansowe i organy administracji rządowej, ale też np. żądanie przez internetowe platformy sprzedażowe skanów dokumentów tożsamości, by odblokować środki otrzymane ze sprzedaży (m.in. Allegro, Vinted, Olx).

Jak zaznaczył PUODO, najbardziej dramatyczne skargi w 2023 r. dotyczyły sytuacji ujawnienia danych osobowych, które mogły doprowadzić do samobójstwa (podano przykład dwóch takich spraw).

Dodatkowo wpłynęło 14 069 zgłoszeń naruszeń ochrony danych osobowych od administratorów danych, najczęściej w kwestii nieprawidłowego zaadresowania korespondencji, udostępnienia danych niewłaściwej osobie, nieprawidłowej anonimizacji danych lub niezamierzonej ich publikacji, np. na stronie internetowej. Inne przykłądy to zgubienie, kradzież lub pozostawienie w niezabezpieczonym miejscu dokumentacji papierowej, bądź zgubienia… pendrive’a z danymi. Nie wolno zapominać o naruszeniu danych osobowych z powodu cyberataków czy błędów w aplikacjach, które umożliwiają nieautoryzowany dostęp do informacji.

PUODO wydał łącznie 1750 decyzji, a czynności kontrolne przeprowadzono w 33 podmiotach (m.in. branża medyczna, ubezpieczeniowa czy firma kurierska).

Skargi na platformy mediów społecznościowych

W sprowozdaniu Prezes Urzędu Ochrony Danych Osobowych podaje, że wiele skarg złożyli również użytkownicy mediów społecznościowych na brak możliwości uzyskania dostępu do danych osobowych lub ich usunięcia; brak przejrzystej komunikacji z administratorem oraz na żądania przekazania np. skanu dokumentu, by potwierdzić tożsamość.

Jednocześnie PUODO zaznacza, że nie ma żadnego wpływu na przywrócenie konta użytkownika lub jego funkcjonalności.

„Jeśli konto zostało usunięte/zablokowane, PUODO może interweniować jedynie w sprawie znajdujących się na nim danych osobowych. Zadaniem Prezesa UODO jest ocena procesu przetwarzania danych osobowych, a nie kwestii związanych z obsługą kont użytkowników stron internetowych i aplikacji” - czytamy.

Organ w ramach swojej działalności skontrolował także 15 podmiotów, które używają aplikacji mobilnych (z branż: medyczna, bankowa, handlowa, gastronomiczna, turystyczna, transportowa, administracja publiczna). Dodatkowo sprawdził też 5 podmiotów używających aplikacji internetowych (webowych). Kontrole te są kontynuowane w 2024 roku.

Przypadek czy problem systemowy?

PUODO zwrócił uwagę, że z jego analizy wynika, iż błędy dotyczące ochrony danych mogą być przypadkowe (nieszczęśliwy zbieg okoliczności), ale mogą też być „objawem problemów systemowych”. Wkazał tu na przywiązywanie zbyt małej uwagi w kwestii ochrony danych osobowych, małą wiedzę kadry zarządzającej czy na brak procedur zabezpieczających.

(...) Ciągle nie myślimy w kategoriach analizy ryzyka. Łatwiej nam szukać winnego w przypadku pojawienia się problemu niż z wyprzedzeniem oszacować ryzyko i na podstawie tej analizy podjąć stosowne środki zaradcze, zanim problem się pojawi.
PUODO

Ostatecznie, w ubiegłym roku Prezes UODO zdecydował się na administracyjną karę pieniężną wobec 31 podmiotów, łącznie była to suma 1 230 331,28 zł.

/NB

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].