Sprawozdanie PUODO za 2021 rok
02/09/2022
Prezes Urzędu Ochrony Danych Osobowych opublikował sprawozdanie z działalności za 2021 rok.
W 2021 r. do UODO wpłynęło 8318 skarg. W roku 2021 Prezes Urzędu Ochrony Danych Osobowych wydał 2082 decyzje administracyjne, tj. o 216 więcej w stosunku do roku 2020. W 2021 roku wniesiono do Wojewódzkiego Sądu Administracyjnego w Warszawie 225 skarg na decyzje lub postanowienia Prezesa UODO.
Poniżej prezentujemy najistotniejsze informacje wybrane z podsumowania Sprawozdania:
Jak co roku głównym tematem skarg było przetwarzanie danych osobowych w celach marketingowych. Problemy związane były głównie z nierealizowaniem obowiązków informacyjnych albo nieuwzględnianiem sprzeciwu osoby, której dane dotyczą na taki sposób przetwarzania jej danych. Obecnie marketing jest procesem zinformatyzowanym, automatycznym i masowym. Niepokojącą sytuacją jest brak pełnej kontroli administratora nad każdym aspektem takiego przetwarzania. Zauważalne jest to zwłaszcza w przypadkach zmiany systemu służącego do prowadzenia akcji marketingowych. Systemy te okazują się nie być w pełni kompatybilne. W przypadku migracji baz danych, oznaczenie wyłączenia marketingu w stosunku do danej osoby w jednym systemie może nie zostać odczytane w drugim. Zjawisko to jest niepokojące, bo to po stronie administratora leży obowiązek zapewnienia prawidłowości przetwarzanych danych osobowych. Organ dostrzegł również problem związany z ponownym wprowadzeniem danych do bazy danych, pomimo faktu ich wcześniejszego usunięcia.
Co do sektora zdrowia, częstymi skargami, które w 2021 r. wpłynęły do Prezesa Urzędu Ochrony Danych Osobowych, były skargi na uzyskiwanie przez lekarzy dostępu do danych osobowych przetwarzanych w systemach ZUS oraz te, związane z wystawianiem recept.
Z kolei w sektorze szkolnictwa tematyka skarg dotyczyła głównie organizacji nauczania w placówkach oświatowych, w związku z koniecznością dostosowania ich działalności do wymogów i obostrzeń w związku z pandemią COVID-19, w szczególności w związku z publikowaniem wizerunków uczniów i nauczycieli na stronach internetowych tych placówek lub na portalach społecznościowych.
W okresie sprawozdawczym 2021 roku, w toku prowadzonych kontroli przestrzegania przepisów rozporządzenia 206/679, Prezes UODO zwracał szczególną uwagę na zaimplementowanie przez administratorów odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych osobowych, przeprowadzoną ocenę skutków dla ochrony danych osobowych oraz analizę ryzyka naruszenia praw lub wolności osób fizycznych, których dotyczyło naruszenie ochrony danych osobowych. Ocenie podlegały m.in. przesłanki legalności przetwarzania danych osobowych, w szczególności warunki wyrażenia zgody na przetwarzanie tych danych, w tym informacji o stanie zdrowia, umowy powierzenia przetwarzania danych osobowych, zabezpieczenia systemów informatycznych z uwzględnieniem mechanizmu tworzenia i weryfikacji kopii zapasowych, systemów antywirusowych/antyspamowych, jak również zabezpieczenia fizyczne pomieszczeń strategicznych dla bezpieczeństwa danych osobowych. Wątpliwości Prezesa UODO w kontrolowanych podmiotach wzbudziło przetwarzanie biometrycznych danych osobowych pod kątem spełniania jednego z warunków wskazanych w art. 9 ust. 2 rozporządzenia 2016/679 oraz w zakresie niezbędności i proporcjonalności identyfikacji do celów uwierzytelniania.
W analizowanym 2021 roku nastąpił znaczący wzrost liczby decyzji administracyjnych wydawanych przez Prezesa UODO nakładających na administratorów administracyjne kary pieniężne oraz decyzji, w których udzielił upomnienia administratorom w związku ze stwierdzeniem naruszenia ochrony danych osobowych. Zaobserwować także należy znaczący wzrost wysokości kar pieniężnych nakładanych przez organ nadzoru za naruszenia przepisów o ochronie danych osobowych.
Prezes UODO w wydanych decyzjach zwracał szczególną uwagę na:
- zawiadamianie osób, których dane dotyczą o naruszeniu ochrony ich danych osobowych, pod kątem spełniania przesłanek z art. 34 ust. 1 rozporządzenia 2016/679 lub art. 34 ust. 3 rozporządzenia 2016/679 – jako wyjątku od zasady bezpośredniego zawiadomienia – i obowiązek notyfikacji naruszeń organowi nadzorczemu;
- wdrożenie odpowiednich środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo przetwarzania danych osobowych, poprzedzone szacowaniem poziomu ryzyka dla procesu przetwarzania danych, uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 rozporządzenia 2016/679, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku;
- regularne testowanie, mierzenie i oceniania skuteczności ww. środków na każdym etapie przetwarzania.
Z całością Sprawozdania można zapoznać się na stronie Urzędu https://uodo.gov.pl/pl/437