W 2021 roku wzrost liczby skarg i zawiadomień o naruszeniach ochrony danych

Jak przypomniał Sanocki, w 2018 r. - pierwszym roku obowiązywania RODO i działalności UODO skarg od obywateli było nieco ponad 5,5 tys., w 2020 r. było ich prawie 6,5 tys. W przypadku zawiadomień administratorów danych o naruszeniach ochrony danych, to w 2019 r. było ich nieco ponad 6 tys., w 2020 r. 7,5 tys., a w minionym 2021 r. do UODO zgłoszono ich 12946.

Skargi najczęściej odnoszą się do kwestii przetwarzania lub udostępnienia danych osobowych bez podstawy prawnej

Według danych Urzędu w sektorach zdrowia, zatrudnienia i szkolnictwa skargi najczęściej odnoszą się do kwestii przetwarzania lub udostępnienia danych osobowych bez podstawy prawnej. Zauważalny jest też duży wzrost liczby skarg, związanych z pandemią, czyli np. przetwarzania danych osobowych dotyczących statusu zaszczepienia - zaznaczył rzecznik Urzędu.

W przypadku sektora finansowego do najczęściej zgłaszanych nieprawidłowości należy przetwarzanie danych osobowych przez banki w związku z zapytaniami kredytowymi, które nie zakończyły się zawarciem umowy.

Znaczący odsetek skarg dotyczył też nieprawidłowości w procesie przetwarzania danych osobowych w celach marketingowych. Chodzi m.in. przetwarzanie wizerunku utrwalonego za pomocą monitoringu wizyjnego czy udostępnienia danych osobowych podmiotom nieuprawnionym.

W ubiegłym roku do UODO często wpływały także skargi na naruszenie ochrony danych osobowych związane z tzw. „wyciekiem danych”. Skarżący po otrzymaniu od administratora danych zawiadomienia o naruszeniu, oczekiwali od Prezesa UODO zabezpieczenia ich przed konsekwencjami tego naruszenia - wyjaśnił Sanocki. Przypomniał jednocześnie, że Prezes UODO nie jest władny do zabezpieczenia takich osób przed ewentualnymi negatywnymi skutkami nieprawidłowości w zakresie przetwarzania ich danych osobowych.

"Prezes UODO jest organem właściwym wyłącznie w sprawach ochrony danych osobowych i w związku z tym nie posiada kompetencji m.in. do orzekania w sprawach dotyczących montowania i demontażu kamer, sprawach z zakresu ochrony dóbr osobistych, np. wizerunku, prawa do prywatności, nakazania wypłaty odszkodowania, zadośćuczynienia czy orzekania w kwestii oceny warunków, skuteczności czy też ważności umów cywilnoprawnych" - wyjaśnił Sanocki.

Jak dodał, wyjątkowo liczne są również skargi na odmowę realizacji prawa osoby skarżącej do bycia zapomnianym przez administratora będącego aktualnym wierzycielem osoby skarżącej, który nabył wierzytelność w drodze umowy cesji.

Uwaga na ransomware

W obszarze naruszeń ochrony danych UODO zauważył wzrost liczby przypadków polegających na zaszyfrowaniu danych osobowych w wyniku działania złośliwego oprogramowania typu ransomware.

Do uprawnień Prezesa UODO należy również nakładanie kar pieniężnych, jednak - jak podkreślił Sanocki - karanie administratorów danych nie jest celem samym w sobie. Dlatego UODO w pierwszej kolejności - jeśli w ogóle jest taka potrzeba - korzysta z takich uprawnień, jak upomnienia, ostrzeżenia czy wezwania do przywrócenia stanu, w którym przetwarzanie danych odbywa się zgodnie z prawem - zaznaczył rzecznik.

Do 28 stycznia 2022 r. Prezes UODO nałożył 40 administracyjnych kar pieniężnych, z których cztery zapłacono. W przypadku 27 kar decyzje nie są jeszcze prawomocne, ukarani odwołali się do sądu administracyjnego. A osiem niezapłaconych i prawomocnych decyzji skierowano do egzekucji administracyjnej. Łączna kwota wpłaconych kar to prawie 151 tys. zł. Jak przypomniał rzecznik, biorąc pod uwagę wysokość ewentualnej kary musi brać pod uwagę 11 różnych czynników, o których mowa RODO.

Jeśli chodzi o odwołania, to na 18 orzeczeń wydanych do tej pory przez WSA, w 13 sprawach sąd utrzymał decyzje Prezesa UODO, czyli potwierdził wysokość i zasadność kary, a dwa wyroki WSA utrzymujące decyzje Prezesa UODO stały się prawomocne - zaznaczył Sanocki. W pięciu sprawach decyzje zostały uchylone. Dziewięć spraw toczy się przed NSA.

Urząd Ochrony Danych Osobowych działa na podstawie prawa europejskiego od 25 maja 2018 r. w związku rozpoczęciem stosowania przepisów RODO - ogólnego rozporządzenia o ochronie danych osobowych.