Firmy najczęściej zgłaszają do UODO drobne incydenty. Rośnie jednak liczba poważnych zdarzeń, takich jak kradzieże danych, nie tylko te dokonywane przez hakerów, ale i własnych pracowników.
RODO nałożyło na administratorów obowiązek zawiadamiania Urzędu Ochrony Danych Osobowych o naruszeniach ochrony danych. Mają na to 72 godziny. Chodzi zarówno o poważne wycieki, jak i mniej znaczące incydenty. Jak wynika z opublikowanego w minionym tygodniu sprawozdania z działalności prezesa UODO, w 2019 r. zgłoszono ich ponad 6 tys. (patrz grafika). Nieco ponad 2/3 pochodziło od prywatnych firm. Większość to drobne incydenty polegające np. na przesłaniu e-maila do niewłaściwego odbiorcy lub też wysłaniu ich do wielu bez ukrywania adresów. Powtarzającym błędem jest też wysłanie dokumentacji do nie tego klienta co trzeba albo zagubienia dokumentów, np. przez agentów ubezpieczeniowych.
Niestety spora liczba zgłoszeń dotyczy również poważnych naruszeń, najczęściej związanych z utratą danych. Główne powody to błędy w oprogramowaniu, które pozwalają na dostęp nieuprawnionym osobom, włamania do systemów, ale i kopiowanie baz przez własnych pracowników, którzy później oferują ich odsprzedaż na portalach aukcyjnych.
Część z tych incydentów, jak nieprawidłowe zaadresowanie korespondencji, zagubienie dokumentów czy wycieki danych, zdarza się również w administracji publicznej. Są też jednak naruszenia charakterystyczne dla tego sektora, jak udostępnienie w trybie dostępu do informacji publicznej (w tym w BIP) nadmiarowych danych czy też przekazanie ich osobom nieuprawnionym (np. przy wydawaniu urzędowych zaświadczeń).
Mimo tak dużej liczby zgłoszeń UODO zauważa pozytywny trend. – Za sprawą RODO zauważalny jest wzrost dbałości administratorów o dane osobowe. Wcześniej niektórzy przedsiębiorcy w ogóle nie zaprzątali sobie głowy ochroną danych osobowych – mówi Adam Sanocki, rzecznik prasowy urzędu, zaznaczając, że poziom ochrony jest różny.
– Zdecydowanie lepiej to wygląda u tych administratorów, którzy o ochronę danych dbali już wcześniej, a nie zaczęli się tym interesować za sprawą RODO – wyjaśnia.
W minionym roku Polacy zgłosili do prezesa UODO ponad 9,3 tys. skarg. Głównie na prywatne firmy. Najwięcej dotyczyło sektora finansowego. Kwestionowano przetwarzanie danych osobowych dłużników, niedoszłych klientów banków, powtarzały się żądania zaprzestania wykorzystywania danych w celach marketingowych pomimo braku zgody czy też nawet wyrażenia wprost sprzeciwu. W skargach na inne firmy powtarzały się też zagadnienia związane z dopuszczalnym zakresem danych zbieranych przez pracodawców i udostępnianiem ich zewnętrznym przedsiębiorcom czy przekazywanie danych firmom windykacyjnym i do BIK.
– W ciągu półtora roku stosowania RODO dało się zauważyć kilka ciekawych tendencji w zakresie skarg. O ile, podobnie jak przed 25 maja 2018 r., porównywalnie liczne były skargi dotyczące prawa bankowego, windykacji długów czy kwestii przetwarzania danych osobowych w celach marketingowych, o tyle pojawiło się również wiele nowych zagadnień oraz spraw pokazujących wzrost świadomości prawnej społeczeństwa – zauważa Adam Sanocki.
– Na znaczeniu zyskało wykonywanie obowiązku informacyjnego, skarżący składają również wnioski o udostępnienie im kopii danych. Liczne są też wnioski o udostępnienie nagrań z monitoringu wizyjnego prowadzonego w podmiotach takich jak np. sklepy, centra handlowe, jak też wnioski o udostępnienie nagrań z infolinii w celu złożenia skutecznej reklamacji i udowodnienia okoliczności dotyczących np. zakupu określonych produktów z wadami fabrycznymi bądź też nienależytego wykonania polecenia wydanego drogą telefoniczną przez posiadacza rachunku – dodaje.