Wnioski z raportu UODO: świadomość rośnie, ale praktyka kuleje

Świadomość w zakresie ochrony danych osobowych, w opinii prezesa UODO, rośnie zarówno wśród osób, których dane osobowe dotyczą, jak również w gronie administratorów. Wynika to z liczby zgłoszonych skarg i naruszeń, analizy żądań skarżących oraz odpowiedzi udzielanych przez administratorów. Ci ostatni coraz lepiej znają i rozumieją swoje obowiązki. W większości przypadków są w stanie udzielić wyczerpujących wyjaśnień i odpowiedzi na pytania PUODO. Znacznie częściej też sporządzają dokumentację obejmującą politykę przetwarzania danych oraz stosują pisemne klauzule informacyjne o przetwarzaniu danych.

Jednak wiele kwestii wymaga jeszcze poprawy. Skarżący wciąż często błędnie rozumieją zakres kompetencji PUODO oraz mają problem z określeniem, jakiego naruszenia ochrony danych osobowych dotyczy wnoszona przez nich skarga. Na skutek niewiedzy kierują do organu sprawy dotyczące naruszenia tajemnicy korespondencji czy innych dóbr osobistych, ścigania przestępstw, jak również przyznania odszkodowania za naruszenia ochrony danych osobowych.

Więcej zgłoszeń naruszeń ochrony danych osobowych…

Liczba zgłoszonych naruszeń ochrony danych osobowych i skarg w roku 2024 w stosunku do 2022 r. wzrosła w obu kategoriach o ponad 15 proc. [tabela 1]

Odpowiednio po ok. 20 proc. skarg obejmowało niewłaściwe działania w sektorze publicznym, finansowym oraz zdrowia. W sektorze publicznym najwięcej skarg dotyczyło nieprawidłowego udostępnienia danych osobowych:

• na stronach internetowych Biuletynu Informacji Publicznej,
• podczas obrad kolegialnych organów jednostek samorządu terytorialnego oraz
• w związku ze zgłoszeniem naruszenia przepisów (np. w przypadku samowoli budowlanych czy wycinki drzew).

Z kolei skargi na banki i instytucje kredytowe niezmiennie dotyczą umów zawieranych z klientami. Problemem, z którym od lat mierzy się sektor finansowy, jest również prowadzenie korespondencji tradycyjnej (zgubienie przesyłek lub ich skierowanie do niewłaściwych adresatów).

Ale liczne skargi dotyczyły również nieprawidłowości w zakresie wystawiania recept niewłaściwym pacjentom (tj. osobom, które z usług lekarzy je wystawiających nie korzystały w ogóle lub nie korzystały w dniu wystawienia recepty) oraz nieuprawnionego dostępu do danych za pośrednictwem platformy PUE ZUS.

Uwaga! W sektorach: prywatnym, publicznym, finansowym, ubezpieczeniowym i telekomunikacji oraz zdrowia, zatrudnienia i szkolnictwa największymi problemami są:

• przetwarzanie danych osobowych skarżących bez podstawy prawnej,
• udostępnienie ich danych osobowych podmiotom nieuprawnionym,
• nieuprawnione działania marketingowe z wykorzystaniem ich danych,
• niespełnienie obowiązków informacyjnych wynikających z RODO,
• nieprzekazanie kopii danych,
• nieprawidłowe wykonanie obowiązków administratora w postaci sprostowania danych, usunięcia danych i prawa sprzeciwu.

…i wyższe kary

W ub.r. PUODO wymierzył kary pieniężne w łącznej wysokości prawie 14 mln zł (tabela 2). Najwyższa wyniosła 4 mln zł, a najniższa – 4 tys. zł. W tym roku suma kar będzie dużo wyższa, bo już tylko trzy najwyższe opiewają łącznie na kwotę ponad 62 mln zł. [tabela 2]

Jak zapobiegać naruszeniom

W sprawozdaniu PUODO znalazł się też wykaz najczęściej popełnianych błędów. Na ich podstawie można sformułować wytyczne, jak uniknąć powtarzających się w wielu podmiotach naruszeń ochrony danych osobowych.

▶ Ujawnienia danych nieuprawnionym adresatom podczas wysyłania korespondencji

1. Prawidłowo adresuj korespondencję, zarówno tradycyjną, jak i elektroniczną.

2. Jeśli masz wątpliwości odnośnie do prawidłowości danych adresata, wstrzymaj się z wysyłką i sprawdź dokładnie jego dane (zweryfikuj dokumentację, skontaktuj się z nim w celu potwierdzenia).

3. Przed wysyłką listu czy maila sprawdź, czy wskazałaś/eś właściwych adresatów.

4. Stosuj funkcję UDW w mailach.

5. Szyfruj przesyłane maile (korzystaj z certyfikatów szyfrujących i podpisujących).

6. Szyfruj załączniki zawierające dane osobowe. Pamiętaj o przesłaniu hasła innym kanałem niż sama wiadomość (np. SMS-em, podczas rozmowy, w tym telefonicznej, za pośrednictwem komunikatora).

7. Przypominaj pracownikom o wymienionych zasadach podczas szkoleń lub kampanii informacyjnych.

▶ Nieuprawniony dostęp do baz danych

1. Dokonuj regularnych, wewnętrznych testów bezpieczeństwa w kierunku wykrycia podatności systemu.

2. Przeprowadzaj regularną analizę nadawanych uprawnień, ograniczając je do takich, które są niezbędne pracownikom do wykonywania obowiązków służbowych.

▶ Wykorzystanie złośliwego oprogramowania ingerującego w poufność, integralność lub dostępność danych osobowych

1. Przeprowadzaj aktualizacje oprogramowania, w tym antywirusowego.

2. Regularnie sporządzaj kopie zapasowe.

3. Dokonuj regularnych, wewnętrznych testów bezpieczeństwa w kierunku wykrycia podatności systemu.

4. Regularnie testuj, mierz i oceniaj skuteczność stosowanych środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania danych osobowych.

▶ Błędy w aplikacjach umożliwiających nieautoryzowany dostęp do zasobów, poprzez dostęp do identyfikatora wskazanego zasobu (podatności IDOR, np. możliwość manipulacji adresem URL)

Projektuj i twórz aplikacje w taki sposób, aby odwołania do obiektów, jak klucze SSH, hasła czy nazwy plików w katalogu nie były nigdy widoczne dla użytkownika.

▶ Naruszenie poufności i dostępności danych osobowych na skutek zgubienia lub kradzieży nośnika danych (laptop, pendrive, telefon komórkowy)

1. Szyfruj urządzenia wykorzystywane do przetwarzania danych osobowych.

2. Wprowadź rozwiązania umożliwiające zdalne usuwanie danych osobowych z urządzeń znajdujących się poza siedzibą administratora.

3. Wprowadź jasne zasady korzystania z nośników danych, w szczególności podczas pracy zdalnej i podróży służbowych. ©℗