Polityka i prawo
PUODO: Kilkanaście tys. zgłoszeń naruszenia ochrony danych osobowych
Sejm wysłuchał sprawozdania Prezesa Urzędu Ochrony Danych Osobowych za ubiegły rok. Wpłynęło wtedy ponad 14 tys. zgłoszeń dotyczących naruszenia ochrony danych osobowych od administratorów, a kary nałożono na 31 podmiotów. Łącznie ich suma wyniosła ponad 1,23 mln zł.
Mirosław Wróblewski, prezes UODO, przedstawił Sprawozdanie z działalności Prezesa UODO w 2023 roku w czasie ostatniego posiedzenia Sejmu.
📌Sprawozdanie z działalności Prezesa Urzędu Ochrony Danych Osobowych w roku 2023 przedstawił Mirosław Wróblewski.
— Sejm RP🇵🇱 (@KancelariaSejmu) December 5, 2024
📌Stanowisko Komisji Sprawiedliwości i Praw Człowieka zaprezentował poseł @JaskowiecD. pic.twitter.com/wx5U42drgF
Dokument dotyczy dostosowania się podmiotów do art. 59 RODO oraz art. 50 ustawy z 10 maja 2018 r. o ochronie danych osobowych i pokazuje ogólny stan świadomości rynku pod kątem obowiązujących regulacji. Część z nałożonych kar dotyczy również incydentów, do których doszło, mogących być wynikiem niezastosowania przez organizacje odpowiednich mechanizmów cyberbezpieczeństwa.
Naruszenie danych osobowych
Jak wynika ze sprawozdania, w 2023 roku do Urzędu Ochrony Danych Osobowych wpłynęły ponad 6962 skargi (o 33 skargi mniej niż w 2022), które obejmowały zarówno np. sprawy sąsiedzkie (takie jak monitoring wizyjny na prywatnych posesjach i klatkach schodowych), przetwarzanie danych przez pracodawców (dot. np. przechowywania CV), przez instytucje finansowe i organy administracji rządowej, ale też np. żądanie przez internetowe platformy sprzedażowe skanów dokumentów tożsamości, by odblokować środki otrzymane ze sprzedaży (m.in. Allegro, Vinted, Olx).
Jak zaznaczył PUODO, najbardziej dramatyczne skargi w 2023 r. dotyczyły sytuacji ujawnienia danych osobowych, które mogły doprowadzić do samobójstwa (podano przykład dwóch takich spraw).
Dodatkowo wpłynęło 14 069 zgłoszeń naruszeń ochrony danych osobowych od administratorów danych, najczęściej w kwestii nieprawidłowego zaadresowania korespondencji, udostępnienia danych niewłaściwej osobie, nieprawidłowej anonimizacji danych lub niezamierzonej ich publikacji, np. na stronie internetowej. Inne przykłądy to zgubienie, kradzież lub pozostawienie w niezabezpieczonym miejscu dokumentacji papierowej, bądź zgubienia… pendrive’a z danymi. Nie wolno zapominać o naruszeniu danych osobowych z powodu cyberataków czy błędów w aplikacjach, które umożliwiają nieautoryzowany dostęp do informacji.
PUODO wydał łącznie 1750 decyzji, a czynności kontrolne przeprowadzono w 33 podmiotach (m.in. branża medyczna, ubezpieczeniowa czy firma kurierska).
Skargi na platformy mediów społecznościowych
W sprowozdaniu Prezes Urzędu Ochrony Danych Osobowych podaje, że wiele skarg złożyli również użytkownicy mediów społecznościowych na brak możliwości uzyskania dostępu do danych osobowych lub ich usunięcia; brak przejrzystej komunikacji z administratorem oraz na żądania przekazania np. skanu dokumentu, by potwierdzić tożsamość.
Jednocześnie PUODO zaznacza, że nie ma żadnego wpływu na przywrócenie konta użytkownika lub jego funkcjonalności.
„Jeśli konto zostało usunięte/zablokowane, PUODO może interweniować jedynie w sprawie znajdujących się na nim danych osobowych. Zadaniem Prezesa UODO jest ocena procesu przetwarzania danych osobowych, a nie kwestii związanych z obsługą kont użytkowników stron internetowych i aplikacji” - czytamy.
Organ w ramach swojej działalności skontrolował także 15 podmiotów, które używają aplikacji mobilnych (z branż: medyczna, bankowa, handlowa, gastronomiczna, turystyczna, transportowa, administracja publiczna). Dodatkowo sprawdził też 5 podmiotów używających aplikacji internetowych (webowych). Kontrole te są kontynuowane w 2024 roku.
Przypadek czy problem systemowy?
PUODO zwrócił uwagę, że z jego analizy wynika, iż błędy dotyczące ochrony danych mogą być przypadkowe (nieszczęśliwy zbieg okoliczności), ale mogą też być „objawem problemów systemowych”. Wkazał tu na przywiązywanie zbyt małej uwagi w kwestii ochrony danych osobowych, małą wiedzę kadry zarządzającej czy na brak procedur zabezpieczających.
(...) Ciągle nie myślimy w kategoriach analizy ryzyka. Łatwiej nam szukać winnego w przypadku pojawienia się problemu niż z wyprzedzeniem oszacować ryzyko i na podstawie tej analizy podjąć stosowne środki zaradcze, zanim problem się pojawi.
PUODO
Ostatecznie, w ubiegłym roku Prezes UODO zdecydował się na administracyjną karę pieniężną wobec 31 podmiotów, łącznie była to suma 1 230 331,28 zł.
/NB
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].