Media społecznościowe

Wyszukiwarka

Prawo

5 lat RODO. Najczęstsze naruszenia i profilaktyka

Man has "RODO" message on his smartphone and laptop display. Conception of General Data Protection Regulation in polish law. Interface created in graphic program

W maju bieżącego roku mija 5 lat, odkąd w Polsce zaczęło obowiązywać RODO.

Jak firmy radzą sobie z jego stosowaniem?

Pięcioletni okres pozwala na dokonanie przeglądu najczęściej występujących naruszeń RODO (rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)) oraz wskazanie sposobów na ich unikanie.

Rodzaje naruszeń

Do naruszenia danych osobowych dochodzi, gdy mamy do czynienia z niezamierzonym, niezgodnym z prawem lub nieuprawnionym zniszczeniem, utratą, ujawnieniem lub dostępem do danych osobowych. Ze sprawozdania Prezesa urzędu Ochrony Danych Osobowych („PUODO”) w 2021 r. opublikowanego przez PUODO wynika, że do najczęstszych rodzajów naruszeń należały:

 •  udostępnienie danych niewłaściwej osobie;
 • nieprawidłowe zaadresowanie lub zapakowanie korespondencji;
 • nieprawidłowa anonimizacja danych lub niezamierzona ich publikacja;
 • zagubienie korespondencji przez operatora pocztowego (w tym kuriera) lub otwarcie korespondencji przed zwróceniem jej do nadawcy;
 • nieuprawniony dostęp do danych;
 • zagubienie, kradzież lub pozostawienie dokumentacji w niezabezpieczonej lokalizacji;
 • zagubienie lub kradzież nośnika danych;
 • wykorzystanie złośliwego oprogramowania ingerującego w poufność, integralność lub dostępność danych osobowych.

Analiza sprawozdań PUODO od początku jego działania, tj. od maja 2018 roku wskazuje, że gros naruszeń stanowią niezmiennie te same, wymienione wyżej naruszenia, a jedynie skala poszczególnych naruszeń była w poszczególnych latach zmienna.

Naruszyciele i ich błędy

Podmioty, które dopuszczają się naruszeń działają zarówno w sektorze publicznym, jak i prywatnym. To osoby fizyczne, jednostki organizacyjne, jednostki samorządu terytorialnego, a także jednostki Skarbu Państwa, co oznacza, że wymogi wynikające z RODO, pomimo kilku lat obowiązywania rozporządzenia, nie zostały należycie wdrożone i problem ten dotyczy bardzo szerokiego grona podmiotów przetwarzających dane.

Do naruszeń dochodzi przede wszystkim w drodze bezumownego powierzania danych (pierwsze z wymienionych naruszeń) oraz niezapewniania odpowiednich środków zabezpieczeń przez administratora lub osoby działające na jego rzecz (pozostałe naruszenia).

Zarządzanie naruszeniami

Poza wymienionymi naruszeniami w przetwarzaniu danych administratorzy dopuszczali się szeregu uchybień w procesie reagowania na uchybienie i usuwania naruszeń, co pokazuje, że sposób zarządzania naruszeniami także pozostawia wiele do życzenia. Procedura reakcji na wystąpienie incydentu bezpieczeństwa powinna być wdrażana niezwłocznie. Aby miało to miejsce, samo naruszenie, niezależnie od jego wagi i zasięgu, powinno zostać zdiagnozowane. Aby tego dokonać, niezbędny jest stały monitoring procesu przetwarzania danych (także w podmiotach, którym pod powierzono przetwarzanie danych), a także odpowiednie zasoby merytoryczne u osób prowadzących nadzór. Bez cyklicznego uzupełniania wiedzy kadr i aktualizacji mechanizmów ochrony właściwa reakcja na naruszenie jest mało prawdopodobna.

Do obowiązków administratora danych należy zapewnienie pełnej transparentności w zakresie zarządzania naruszeniami, a tym dokumentowanie naruszeń ochrony danych osobowych, ich skutków oraz podjętych działań zaradczych, zgłaszanie określonych przypadków naruszenia organowi nadzorczemu oraz zawiadamianie o naruszeniu osób, których dane dotyczą.

Ze sprawozdań PUODO wynika, że niejednokrotnie podmioty przetwarzające nie zgłaszały naruszeń oraz nie powiadamiały o naruszeniu osób, których dotyczą dane. Najczęstszym powodem było nieuzasadnione zaniżenie poziomu ryzyka związanego z naruszeniem i przyjęcie, że naruszenie ochrony danych osobowych nie powoduje wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, np. w efekcie ujawnienia danych jedynie kilku osób lub niewielkiego zakresu ujawnionych danych. Decyzje wydane przez PUODO wskazują, że nie było to właściwe zapatrywanie.

Uniknięcie kary

Zasadniczymi sposobami na uniknięcie kar jest zgodność przetwarzania z przepisami, a gdy już dojdzie do naruszenia, podjęcie właściwej procedury i współpraca z organem nadzorczym.

Kluczowe jest w tym względzie stałe doskonalenie kadr pod kątem właściwej oceny ryzyka związanego z procesowaniem przetwarzania danych i naruszeniem ich ochrony, głównie z tej przyczyny, że już sama możliwość (ryzyko) wystąpienia negatywnych konsekwencji naruszenia ochrony powoduje odpowiedzialność administratora (cywilną i administracyjną).

Bardzo istotne jest, aby zarówno na etapie żądania wyjaśnień przez organ, w trakcie kontroli, a także po wszczęciu postępowania administracyjnego współpracować z organem nadzorczym. Praktyki opisane w sprawozdaniu PUODO za 2021 r. pokazują, że brak udzielenia wyjaśnień, czy też udzielanie ich w sposób niejasny i niepełny prowadzi do zaostrzenia sankcji. W 17 postępowaniach związanych z niezapewnieniem dostępu do informacji niezbędnych do realizacji zadań PUODO, wszczętych i zakończonych w 2021 r. kary pieniężne nałożono w 7 z nich, czyli niemal połowie.

Sposobem na zmniejszenie, choć nie uniknięcie kary, może być ponadto naprawa niezgodnych z prawem działań już w trakcie kontroli czy przed zakończeniem postępowania administracyjnego.

Zapobieganie naruszeniom

Sprawozdania PUODO za kolejne lata jasno wskazują, że niewystarczające było przeprowadzenie analizy ryzyka naruszenia ochrony danych osobowych jednorazowo w okresie wdrożenia RODO, ale konieczne jest prowadzenie stałego monitoringu zarówno przyjętych zasad przetwarzania danych, jak i incydentów.

Wymóg ten dotyczy wszystkich kategorii podmiotów, a jak wskazują decyzje wydane przez PUODO i podtrzymane przez sądy administracyjne, zarówno podmiotów działających lokalnie, jak i o ogólnopolskim zasięgu działania.

Z omawianego sprawozdania PUODO wynika, że poza wdrożeniem polityk bezpieczeństwa, dokonanym co do zasady przez większość podmiotów przetwarzających dane jeszcze w 2018 r., ryzyko incydentu skutecznie zmniejszają m.in. następujące działania:

 •  odpowiednia polityka ustalania haseł,
 •  szyfrowanie plików i nośników danych,
 •  stosowanie dwuetapowego uwierzytelnienia,
 •  kontrola przepływu danych na nośniki,
 •  monitoring bezpieczeństwa systemów informatycznych,
 •  minimalizacja zakresu przetwarzanych danych z uwagi na cel przetwarzania (zasada minimalizacji danych),
 • przestrzeganie ograniczeń w dostępie do danych i właściwa polityka udzielania dostępu.

Podsumowanie

Powyżej przedstawiono zasadnicze zagadnienia związane z obowiązkami i zagrożeniami wynikającymi z RODO. Okazuje się, że jednorazowe wdrożenie z początku 2018 roku nie jest wystarczające, aby trwale uniknąć ryzyka nałożenia sankcji administracyjnych i odpowiedzialności cywilnoprawnej. Kary nakładane przez PUODO potrafią być wielomilionowe. Niezbędne jest więc stałe doskonalenie narzędzi ochrony danych i monitoring ich skuteczności.

W przypadku zainteresowania wprowadzeniem właściwych rozwiązań w tym względzie, zachęcamy do skorzystania z profesjonalnego wsparcia prawnego.

Radca prawny Mateusz Chmura

Chmura i Partnerzy Radcowie Prawni Sp. p.


Kliknij aby skomentować

Leave a Reply

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Najnowsze

IT

Współczesne miejsce pracy jest zdecydowanie różne od tego, które znamy sprzed dekady czy dwóch. Dzięki postępowi technologicznemu oraz adaptacji cyfrowych narzędzi, cała koncepcja organizacji...

Biznes

Analiza SWOT jest niezwykle cennym narzędziem, które pozwala określić mocne i słabe strony prowadzonego biznesu, a także wskazać zagrożenia i szanse, które stoją przed...

IT

Z plikami cookies spotykamy się każdego dnia podczas surfowania po sieci. Są one tak powszechne, że już mało kto zastanawia się nad ich funkcją....

Biznes

Budowanie marki osobistej to długotrwały proces, którego efekty pozwalają wyróżnić się na tle konkurencji oraz zbudować pozycję eksperta w danej dziedzinie. Wpływa to korzystnie...

Biznes

Płatność odroczona stała się równie popularną metodą regulowania zobowiązań, co płatność kartą czy przelewem tradycyjnym. Klient, który zdecyduje się na takie rozwiązanie, ma 30...

Biznes

Każdy mieszkaniec Polski jest zobowiązany do opłacania różnego rodzaju podatków. Sprawa jednak nieco się komplikuje w przypadku osób, które sprowadziły się tutaj z zagranicy...

Sprawdź również

Księgowość

Jednym z dokumentów księgowych przedsiębiorstw jest nota obciążeniowa. Księgowanie noty obciążeniowej, uznaniowej lub obciążeniowo-uznaniowej pozwala między innymi na dokumentowanie nieopodatkowanych transakcji. Chociaż często możliwa...

Księgowość

Nievatowcy, zwolnieni z obowiązku opodatkowania sprzedaży, mogą posługiwać się w rozliczeniach rachunkami lub wystawiać faktury sprzedażowe, w szczególności w ramach sprzedaży na rzecz firm...

IT

Czy wiesz, że jeśli reklamujesz swój biznes za pomocą portali społecznościowych, takich jak LinkedIn, Facebook, czy też Google, obowiązuje Cię od tego podatek? Do...

Księgowość

Jednym z najważniejszych obowiązków każdej osoby prowadzącej działalność gospodarczą jest bieżące regulowanie zobowiązań finansowych wobec urzędu skarbowego. Jedną z podstawowych danin jest podatek dochodowy....

Topowe tematy

Marketing partyzancki | jednoosobowa działalność gospodarcza | zasady tworzenia stron internetowych | platformy e-commerce | cele reklamy | ranking hostingu | program do wystawiania faktur online | księgowość w małej firmie | kiedy wystawić fakturę | linki afiliacyjne | copywriter praca | rodzaje reklam linkedin | faktura proforma | faktura korygująca | Brand Hero | szkolenia motywacyjne