RODO – minął pierwszy rok i aż 813 spraw, gdzie administratorzy uchylili się od informowania o wycieku?
RODO – minął pierwszy rok i aż 813 spraw, gdzie administratorzy uchylili się od informowania o wycieku?
RODO w pierwszym roku obowiązywania – ile razy zgłaszano do UODO naruszenia ochrony danych? Czy oceny ryzyka związanego z wyciekiem zawsze były prawidłowe? Jakie błędy popełniały osoby składające skargi? Spytaliśmy o to UODO i dostaliśmy konkretne liczby.
W maju tego roku minęła pierwsza rocznica stosowania RODO i wiele osób tę rocznicę odnotowało. Nam jednak brakowało w podsumowaniach pewnych liczb. Podobnie jak pół roku wcześniej chcieliśmy wiedzieć ile skarg zgłoszono do UODO, o ilu wyciekach informowano, czy administratorzy wywiązują się z obowiązku informowania itd.
Skierowaliśmy odpowiednie pytania do Urzędu Ochrony Danych Osobowych i na odpowiedzi czekaliśmy do dziś. Wybaczcie więc, że nasze podsumowanie roku RODO jest trochę spóźnione, ale za to będzie ciekawsze.
Ponad 4,5 tys. zgłoszonych naruszeń
Rzecznik prasowy UODO Adam Sanocki poinformował nas, że w okresie od 25 maja 2018 r. do 25 maja 2019 r. do Urzędu Ochrony Danych Osobowych zgłoszono 4539 naruszeń ochrony danych osobowych, o których mowa w art. 33 RODO. Czyli – mówiąc prościej – tyle razy różne instytucje i firmy zgłaszały do UODO, że coś im wyciekło. Takie wycieki mogły być mniej lub bardziej poważne.
Zdarzały się niestety przypadki, w których UODO otrzymywał sygnał o zdarzeniu, które nie zostało zgłoszone przez administratora, a jednak były podstawy żeby sądzić, że do wycieku doszło. W takich przypadkach Urząd zobowiązywał administratorów do podjęcia właściwych działań.
813 prób “przemilczenia” wycieku
Ile razy wyciek był na tyle poważny, że trzeba było powiadomić osoby, których dane dotyczą? Tego niestety nie wiemy gdyż – jak wyjaśnił nam Adam Sanocki – urząd nie gromadzi informacji w zakresie ilości zgłoszeń, w których dokonano zawiadomienia osób.
Dostaliśmy za to inną ciekawą liczbę.
W toku rozpatrywania spraw UODO dostrzega, że administratorzy w przypadku wystąpienia wysokiego ryzyka naruszenia praw lub wolności dla tych osób, zazwyczaj w sposób prawidłowy je o tym zawiadamiają. W sytuacjach, w których jest takie ryzyko , ale administratorzy nie dokonał takiego zawiadomienia bądź zrobił to w sposób nieprawidłowy, Urząd zwraca się do nich o dopełnienie tego obowiązku – tak było w 813 sprawach.
Policzmy. Skoro rocznie było 813 wycieków, w których administrator powinien powiadomić ludzi i tego nie zrobił to oznacza, że mamy średnio 2 takie wycieki na każdy dzień roku. To powinno nam dawać do myślenia. Miejmy też na uwadze, że odnosimy się tutaj do spraw, o których UODO w ogóle się dowiedział, a przecież niektórzy administratorzy potrafią unikać zgłaszania wycieków do UODO.
W tym przypadku częściowo ograniczono ryzyko wycieku
Przyczyny wycieków
Najczęstszymi przyczynami naruszeń ochrony danych osobowych były:
- ujawnienie danych osobowych niewłaściwemu odbiorcy (np. wysyłka e-maila do złego adresata);
- utrata korespondencji papierowej przez operatora pocztowego bądź otwarcie przed zwróceniem jej do nadawcy;
- zagubienie bądź kradzież nośnika/urządzenia (np. pamięci pendrive lub laptopa).
Moglibyśmy powiedzieć, że w kwestii powodów wycieków niewiele się zmienia.
Jest prośba. Nie piszcie skargi na kolanie
W pierwszym roku RODO do UODO wpłyneło ponad 8 tys. skarg. Dla porównania w całym 2017 r. wpłynęło ich 2950.
Niestety około 70% skarg ma braki formalne. Przykładowo brakuje w nich podpisu albo określenia żądania tj. niewskazanie jakich działań skarżący oczekuje od organu ds. ochrony danych osobowych. Takie braki formalne sprawiają, że urząd musi wysyłać do osób skarżących pisma wzywające do usunięcia braków. To z kolei wydłuża postępowania i zwiększa liczbę czynności jaką muszą wykonać pracownicy urzędu. Ten sam problem dał o sobie znać po pierwszym półroczu RODO więc jest mała prośba do wszystkich. Piszcie skargi starannie!
Skargi najczęściej dotyczą takich zagadnień, jak usunięcie lub sprostowanie danych osobowych, wymuszenia zgód na przetwarzania danych czy wykorzystywania danych w celach telemarketingowych oraz niewłaściwe spełnienie obowiązku.
Źródło: Niebezpiecznik.pl
Firma CSK oferuje swoim klientom usługę Administratora Systemów Informatycznych (ASI). Usługa obejmuje pełnienie funkcji ASI i realizację wymogów rozporządzenia i ustawy o ochronie danych osobowych poprzez przygotowywanie odpowiedniej dokumentacji opisującej zastosowane środki techniczne i ich działanie, instrukcje dla użytkowników, szeroką ocenę analizy ryzyka w zakresie platformy systemowej w systemach informatycznych Zleceniodawcy objętych i zarządzanych w ramach niniejszej umowy przez Zleceniobiorcę. W przypadku pytań zachęcamy do kontaktu.
