UODO ma wielkie oczy, czyli słów kilka o kontrolach
Zgodnie z danymi udostępnionymi w trybie dostępu do informacji publicznej, od momentu obowiązywania RODO do 13 sierpnia 2019 roku Prezes UODO przeprowadził 113 kontroli w zakresie przestrzegania przepisów dotyczących ochrony danych osobowych. Upraszczając nieco rachunki, tj. odnosząc się do liczby podmiotów w gospodarce narodowej (czyli podmiotów, którym nadano numer REGON[1]), można rzec, że:
- w ciągu 14,5 miesiąca obowiązywania RODO przebadano 0,0025% podmiotów, które są (lub mogą być) administratorami danych osobowych;
- szansa na to, że kontrolerzy UODO trafią do konkretnego podmiotu (biorąc pod uwagę powyższe dane) wynosiły 1: 39 628, dla porównania szansa na trafienie „piątki” w lotto wynosi 1: 54 201, a więc mamy nieznacznie większą szansę trafić na kontrolę UODO niż na piątkę w lotto;
- 28 kontroli dotyczyło firm z sektora prywatnego, zatem sektor prywatny miał szansę na kontrolę na poziomie 1: 153 432;
- w sektorze publicznym szansa na kontrolę wyniosła 1: 1333, czyli nieznacznie gorzej niż wynosi szansa na „czwórkę” w lotto, wynosząca 1: 1032.
Odkładając jednak żarty na bok, należy wskazać, że Urząd Ochrony Danych Osobowych dokonywał kontroli przede wszystkim zgodnie z założonym na początku roku 2019 planem kontroli sektorowych. Szansę na kontrolę zwiększają również skargi (do tej pory 3 kontrole zostały zarządzone na podstawie skarg osób fizycznych), zgłaszanie naruszeń, działalność w określonym sektorze (medycznym, edukacyjnym, etc.) oraz stosowanie określonych metod przetwarzania danych osobowych – np. stosowanie monitoringu wizyjnego.
Nie tak dużo kar
Podejście Urzędu Ochrony Danych Osobowych do kwestii kar pieniężnych wydaje się dość zbalansowane i konserwatywne, gdyż do chwili obecnej wyłącznie w dwóch przypadkach zostały nałożone kary pieniężne, a łącznie w 7 przypadkach wszczęto postępowanie administracyjne w sprawie naruszenia przepisów dotyczących ochrony danych osobowych.
Ponadto, jak wynika z udostępnionej informacji, pięć kontroli zostało wszczętych w wyniku zgłoszenia naruszenia ochrony danych osobowych od administratorów. W jednej z takich sytuacji nałożona została kara pieniężna. Wprawdzie jak wynika z powyższych danych – zgłoszenie naruszenia naraża administratora na kontrolę, to jednak należy mieć na uwadze, że niezgłoszenie naruszenia w wymaganym przepisami terminie 72 godzin staje się samoistnym naruszeniem przepisów RODO. W takiej sytuacji administrator danych osobowych mógłby ponieść odpowiedzialność zarówno za sam fakt wycieku danych, jak i jego niezgłoszenie, dlatego bardzo istotnym jest, aby w przypadku stwierdzenia jakiegokolwiek, nawet drobnego naruszenia, przeprowadzić jego analizę i w przypadku, gdy istnieje ryzyko naruszenia praw i wolności osób fizycznych, zgłosić naruszenie do UODO.
Bezpieczeństwo to proces
W końcówce roku 2019 i w 2020 roku na pewno można spodziewać się zwiększenia aktywności kontrolerów Urzędu Ochrony Danych Osobowych, pojawią się też nowe decyzje, być może nowe kary pieniężne lub upomnienia.
Administrator, który przywiązuje wagę do procesów przetwarzania danych osobowych i uważnie śledzi decyzje oraz poradniki wydawane przez UODO, może być spokojny o swoją organizację. Należy też pamiętać, że właściwa ochrona danych osobowych to nie jednorazowa czynność, a ciągły proces, który polega między innymi na udoskonalaniu poszczególnych procesów i zapewnianiu bezpieczeństwa przetwarzania, zarówno fizycznego, jak i organizacyjnego czy informatycznego.
[1] Liczba podmiotów w gospodarce narodowej na 31.07.2019 wyniosła 4 477 947, źródło: GUS
AUTORZY WPISU
E: magdalena.keska@pl.Andersen.com
T: +48 32 731 68 50
E: kamil.koziol@pl.Andersen.com
T: +48 668 690 891