Jak co roku, Prezes Urzędu Ochrony Danych Osobowych opublikował sprawozdanie ze swojej działalności. Na ponad 308 stronach znajdziemy rozległe informacje o realizacji ustawowych zadań związanych z kontrolą przestrzegania przepisów o ochronie danych osobowych, przyjmowaniem zgłoszeń, naruszeń i rozpatrywaniem skarg, opiniowaniem aktów prawnych, uczestnictwem w pracach międzynarodowych czy działalności edukacyjno-informacyjnej. To szczególnie istotny raport, który pozwala na ocenę efektywności i skuteczności działania Urzędu w dziedzinie ochrony danych osobowych. Odnajdziemy tam oprócz danych statystycznych, analizę trendów oraz kluczowe wnioski dotyczące poziomu ochrony danych osobowych w Polsce. Przedstawione zostały również główne wyzwania i problemy, które spotykają Administratorów danych, również z nawiązaniem do wymierzonych przez UODO kar.
Wszystkich chętnych, którzy chcieliby zapoznać się ze szczegółowym opisem ubiegłego roku, odsyłam bezpośrednio do sprawozdania, służącego w niniejszym artykule za źródło danych. Można je odnaleźć na stronie internetowej UODO: https://uodo.gov.pl/pl/487/2279.
Struktura organizacyjna i zatrudnienie
Łączny stan zatrudnienia w Urzędzie, w 2022 roku wynosił na początku 2022 roku – 252 osoby, a na koniec roku – 243 osoby. Powyższe cyfry nie zawierają Prezesa UODO ani jego Zastępcy. Dwa departamenty, będące jednymi z najważniejszych merytorycznie (i co za tym idzie, największych kadrowo), na koniec 2022 roku zatrudniały odpowiednio:
Departament Kontroli i Naruszeń – 43 osoby, w tym:
- Wydział Kontroli – 12 osób,
- Wydział Naruszeń – 25 osób.
Departament Skarg – 78 osób, w tym:
- Wydział ds. Sektora Publicznego – 11 osób,
- Wydział ds. Sektora Prywatnego – 20 osób,
- Wydział ds. Sektora Zdrowia, Zatrudnienia i Szkolnictwa – 17 osób,
- Wydział ds. Sektora Finansowego, Ubezpieczeń i Telekomunikacji – 18 osób.
Skargi
Zgodnie z art. 77 RODO, każda osoba, która uważa, iż przetwarzanie jej danych osobowych narusza przepisy RODO, może wnieść skargę do organu nadzorczego. Tylko w 2022 roku do Prezesa UODO wpłynęło 6995 takich skarg. Dla porównania, w 2021 roku było ich aż 8318. Każda pojedyncza skarga jest analizowana pod kątem spełniania wymogów formalnych, a następnie prowadzone są działania zmierzające do merytorycznego rozstrzygnięcia sprawy i ostatecznego poinformowania o efektach rozpatrywania skargi. Jak wskazuje UODO, wpływające skargi najczęściej nie zawierały określenia żądania, z którym zwracał się skarżący lub nie były kierowane bezpośrednio przez osobę, której dane dotyczą (a dotyczyły praw osób trzecich). Ponadto, niektóre ze skarg wybiegały w przyszłość, wskazując na operacje przetwarzania, które nie miały miejsca w momencie składania skargi. Grupując skargi na ilość spraw, które przypadły poszczególnym Wydziałom w Departamencie Skarg, ich ilość wygląda jak poniżej:
- Wydział ds. Sektora Publicznego – 1199 skarg,
- Wydział ds. Sektora Prywatnego – 2290 skarg,
- Wydział ds. Sektora Zdrowia, Zatrudnienia i Szkolnictwa – 1346 skarg,
- Wydział ds. Sektora Finansowego, Ubezpieczeń i Telekomunikacji – 1466 skarg.
Dodatkowo wpłynęło 475 skarg na podmioty z sektora transgranicznego. Przez cały 2022 rok zakończono prowadzone postępowania w 6479 sprawach, dotyczą one również spraw zaczętych w ubiegłych latach.
W odniesieniu do skarg jednak tym razem na działanie Urzędu Ochrony Danych Osobowych: w 2022 r. do Urzędu wpłynęło 28 takich skarg. Najczęściej ich zarzuty dotyczyły bezczynności lub przewlekłego załatwiania spraw przez UODO.
Naruszenia
Jednym z podstawowych obowiązków Administratorów danych jest zgłaszanie naruszeń ochrony danych osobowych. Jest to narzędzie, które ma za zadanie przyczynić się do realnej poprawy bezpieczeństwa danych osobowych. W 2022 roku z takiej możliwości, jak się wszyscy domyślają, korzystano wielokrotnie. Do Urzędu wpłynęło łącznie 12 722 zgłoszeń naruszeń. Jest to niewiele mniejsza liczba niż w roku 2021, gdzie licznik zatrzymał się na 12 946 zgłoszeniach. Jak wskazuje Urząd, zarówno ilość zgłaszanych naruszeń, jak i ich najczęstsze rodzaje, pozostały bardzo podobne. 637 ze zgłoszonych naruszeń spotkało się z odpowiedzią Urzędu w postaci pisemnego wezwania do złożenia wyjaśnień lub informacji. Rok 2022 obfitował w nałożenie administracyjnych kar pieniężnych łącznie na 20 podmiotów, a łączna kwota opiewała na 7 850 861 zł. Dokładnie połowa (10) z wymierzonych kar, na łączną kwotę 158 184 zł nie została zaskarżona przez strony do sądu administracyjnego i ostatecznie stały się prawomocne. 9 kar zostało zaskarżonych do WSA, do momentu publikacji sprawozdania: 2 skargi zostały oddalone, 2 kary zostały uchylone przez Sąd (sprawy będą kontynuowane przed NSA), a pozostałe 5 postępowań jest nadal w toku.
Kontrole przestrzegania przepisów o ochronie danych osobowych
W myśl art. 78 Ustawy o ochronie danych osobowych, Prezes UODO przeprowadza kontrolę przestrzegania przepisów o ochronie danych osobowych. Mogą to być kontrole planowe lub przeprowadzane w ramach monitorowania przestrzegania przepisów RODO. Rok 2022 Prezes UODO zakończył przeprowadzeniem wyżej wspomnianych kontroli w 40 podmiotach. Kontrole planowe, przeprowadzone zgodnie z planem kontroli sektorowych UODO objęły swoim zasięgiem podmioty z sektora bankowego, przetwarzające dane osobowe w Systemach SIS oraz WSI, jak również podmioty, które przetwarzają dane osobowe przy użyciu mobilnych aplikacji. Organ nadzorczy wytypował wymienione 3 grupy podmiotów jako istotne, z uwagi na liczne pytania, skargi i zgłoszenia naruszeń ochrony danych, które wskazują na duże zainteresowanie społeczeństwa generowanymi przez nie problemami. Kontrolami innymi niż planowe zostały objęte organy administracji rządowej i samorządowej, uczelnie wyższe, stowarzyszenie, placówki medyczne i jeden z konsulatów RP. Przeprowadzone kontrole wynikały również ze zgłoszonych naruszeń ochrony danych. Rok 2022 zakończył się przeprowadzeniem 8 postępowań kontrolnych, zapoczątkowanych w wyniku wspomnianego naruszenia.
Dodatkowo Prezes UODO w 2022 roku skontrolował 4 podmioty, a do kolejnych 24 skierował pisma w zakresie sprawdzenia prawidłowości powołania i funkcjonowania Inspektorów Ochrony Danych. Przedmiot zainteresowania stanowiły informacje o sposobie zapewnienia kontaktu z IOD, jego umiejscowieniu w strukturze administracyjnej, kompetencjach, zaangażowaniu w sprawy dotyczące ochrony danych osobowych oraz co najważniejsze, o zapewnieniu gwarancji niezależności i możliwości prawidłowego realizowania obowiązków.
Pozostała działalność UODO
Urząd Ochrony Danych Osobowych w 2022 roku zatwierdził pierwszy kodeks postępowania, o których mowa w art. 40 RODO. 14 grudnia 2022 roku przyjęto do stosowania „Kodeks postępowania dotyczący ochrony danych osobowych przetwarzanych w małych placówkach medycznych”. W roku sprawozdawczym UODO przyjął również wniosek o zatwierdzenie „Kodeksu postępowania i dobrych praktyk w zakresie ochrony danych osobowych w działaniach marketingu bezpośredniego”. Warunki formalne procedowania zostały spełnione i trwa ocena merytoryczna po stronie Urzędu.
Wprawdzie kompetencje Urzędu Ochrony Danych Osobowych wprost nie regulują udzielania odpowiedzi na pytania prawne, takie zapytania mimo wszystko wpływają do Urzędu. W 2022 roku łączna ilość pytań prawnych, które zostały skierowane do UODO, wyniosła 2058. Stanowią one w późniejszym czasie inspirację do tworzenia wystąpień, poradników czy komunikatów UODO. Bardzo często dotyczą one powtarzających się problemów Administratorów danych lub Inspektorów, którzy również zwracają się do UODO z problematycznymi kwestiami.
Podsumowanie
Powyżej zagregowane dane są tylko wycinkiem informacji o ilości i rodzaju zadań podejmowanych przez UODO. Stanowią jednakże ważny wskaźnik, który po głębszej analizie i dokładnej lekturze sprawozdania może przybliżyć nam ewentualne problemy i trendy w dziedzinie ochrony danych osobowych. Co prawda w raporcie nie znajdziemy informacji o średnim czasie prowadzenia spraw, natomiast zapoznanie się z informacjami o poziomie zatrudnienia i ilości wpływających do UODO zgłoszeń, przynajmniej nakreśli nam obraz sytuacji i skalę pracy, która musi być podjęta, aby zagwarantować osobom, których dane dotyczą, odpowiedni poziom ochrony ich praw.