GIODO nie wyręczy administratora danych

22-06-2016, 22:00

Firmy przetwarzające dane osobowe nie radzą sobie z przepisami. Mają problemy nawet z formalnym powołaniem ABI

Ponad 2,2 tys. skarg wpłynęło w ubiegłym roku do Departamentu Orzecznictwa, Legislacji i Skarg Biura Generalnego Inspektora Ochrony Danych Osobowych (GIODO). To o 225 mniej niż w 2014 r., ale nadal bardzo dużo. W porównaniu z 2010 r. przybyło ich dwukrotnie.

Skargi na banki i internet

Skargi od lat dotyczą podobnych spraw i najczęściej tych samych podmiotów, przetwarzających dane osobowe — banków i innych instytucji finansowych, administracji publicznej, a także portali internetowych lub samego internetu. „Wraz ze wzrostem świadomości osób, które obserwują trendy związane z ochroną tych danych, po wyroku Trybunału Sprawiedliwości Unii Europejskiej z 13 maja 2014 r. (sygn. akt C-131/12), wzrosła liczba skarg na operatorów wyszukiwarek internetowych. Poza tym wraz z rozwojem nowych technologii, z których często korzystają zarówno administratorzy danych, jak i osoby, których dane dotyczą, wzrosła również liczba skarg w tym zakresie” — czytamy w sprawozdaniu z działalności GIODO w 2015 r. GIODO odmówił rozpatrzenia 228 spraw, w 172 nakazał przywrócenie stanu zgodnego z prawem, a 115 umorzył. W postępowaniach zainicjowanych skargami oraz wszczętych przez generalnego inspektora z urzędu 35 spośród 646 wydanych decyzji dotyczyło skierowania spraw do Wojewódzkiego Sądu Administracyjnego w Warszawie — o 6 mniej w 2014 r.

W 329 skargach zakwestionowano legalność działań banków i innych instytucji finansowych. Przykładowy zarzut to kierowanie do klientów informacji handlowych w internetowym serwisie transakcyjnym mimo braku zgody, a nawet sprzeciwu wobec przetwarzania danych osobowych w celach marketingowych. „Bohaterami” skarg były też firmy zajmujące się marketingiem — wpłynęło ich 95 i w większości również związanych z przetwarzaniem danych w celach marketingowych mimo sprzeciwu. Praktyki stosowane w internecie skarżono 336 razy, o 70 mniej niż w 2014 r. Dotyczyły nieuprawnionego udostępniania danych na różnych portalach internetowych.

175 Tyle kontroli zgodności przetwarzania danych osobowych z przepisami ustawy przeprowadził GIODO w 2015 r.

Przed unijną reformą

W związku z rosnącą liczbą skarg generalny inspektor widzi konieczność wprowadzenia zmian systemowych, które zwiększą jego skuteczność. Taką szansę może dać wzmocnienie jego pozycji i przyznanie mu kompetencji do nakładania kar finansowych. Takie rozwiązania wprowadza unijne rozporządzenie ogólne o ochronie danych osobowych, którego przepisy będą bezpośrednio stosowane we wszystkich państwach członkowskich Unii Europejskiej od 25 maja 2018 r. Kary to narzędzie, po które GIODO sięgnie na skutek naruszeń. Może do nich jednak nie dochodzić, jeśli np. administratorzy danych (AD) będą powoływać administratorów bezpieczeństwa informacji (ABI), którzy będąc specjalistami w dziedzinie ochrony danych osobowych, mają obowiązek dbać, aby zatrudniająca ich firma przetwarzała dane zgodnie z prawem. Obecnie ich powołanie jest dobrowolne, ale unijne rozporządzenie przewiduje, że w niektórych przypadkach powołanie inspektorów ochrony danych osobowych (data protection officers — DPO — tak nazywasię ich w rozporządzeniu) będzie wręcz obowiązkowe. Dotyczy to całej administracji publicznej, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. W przedsiębiorstwach obowiązek powołania inspektora będzie spoczywał na tych administratorach i podmiotach przetwarzających, których główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. GIODO zwraca uwagę, że przepisy nie precyzują, co to znaczy duża skala, dlatego konieczne będzie stworzenie wykładni. Powołanie inspektora będzie też obowiązkowe wtedy, gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, np. dane o zdrowiu.

Zadania administratorów

Obecnie zarejestrowanych jest ponad 15,5 tys. ABI, 8 tys. zgłoszeń czeka na rejestrację i liczba ta sukcesywnie rośnie.

— ABI odpowiadają nie tylko za kwestie techniczne, związane np. z szyfrowaniem danych czy prawidłowym zabezpieczeniem systemów informatycznych przed atakami cyberprzestępców, ale także za całokształt prawidłowego przetwarzania danych, a więc za ich ochronę i bezpieczeństwo oraz za szkolenia i doradzanie pracownikom administratora mającym do nich dostęp. ABI mają nadzorować cały proces przetwarzania danych w instytucji — wyjaśnia dr Edyta Bielak-Jomaa, generalny inspektor ochrony danych osobowych. Takie wzmocnienie poziomu ochrony jest potrzebne także dlatego, że GIODO bywa traktowany jak podmiot do świadczenia obsługi prawnej administratorów danych. — Biuro często otrzymuje pytania dotyczące rozwiązań organizacyjnych, jakie powinien przyjąć administrator danych, czy podejmowanych przez niego decyzji. Tymczasem takie rozstrzygnięcia nie leżą w kompetencji GIODO. To administrator danych osobowych, jako podmiot decydujący o celach i środkach przetwarzania danych osobowych, powinien zapewniać przestrzeganie przepisów o ochronie danych osobowych oraz stosować odpowiednie do swojej struktury, realizowanych zadań czy zakresu przetwarzanych danych osobowych (z uwzględnieniem zarówno kategorii danych, jak i skali ich przetwarzania) środki techniczne i organizacyjne w tym zakresie, w tym także przez powołanie ABI — mówi dr Edyta Bielak-Jomaa. Podkreśla, że GIODO ma kompetencje do kontroli przyjętych rozwiązań, nie powinien jednak zastępować przedsiębiorców w realizacji ich obowiązków. Tym większego znaczenia nabiera nowe podejście do administratorów danych, wynikające z unijnego rozporządzenia. To na nich będzie spoczywać obowiązek zastosowania środków technicznych i organizacyjnych odpowiednich do ryzyka, z jakim wiążą się operacje przetwarzania danych dokonywane przez tego administratora (czyli podejście oparte na ryzyku). Poza tym będą musieli wykazać, że zastosowane środki odpowiadają wymaganiom i zasadom określonym w rozporządzeniu (zasada rozliczalności).

Z ochroną na bakier

Wyniki ubiegłorocznych kontroli prowadzonych przez GIODO dowodzą, że część administratorów danych nadal ma problemy z prawidłowym wykonaniem podstawowych obowiązków związanych z ochroną danych osobowych. Przede wszystkim nie dopełniają właściwie obowiązków informacyjnych dotyczących zasad przetwarzania danych wobec osób, których dane pozyskują. Jedni w ogóle nie przekazują wymaganych informacji, inni tylko część albo umieszczają je w trudno dostępnych miejscach. Ponadto wciąż mają problemy z prawidłowym formułowaniem treści oświadczeń o wyrażeniu zgody na przetwarzanie danych osobowych przez ich klientów. Nierzadko jest tak sformułowana, że nie daje im możliwości wyboru. Często też w jednym oświadczeniu są łączone pozwolenia na różne cele przetwarzania danych i na rzecz kilku podmiotów. Kuleje też ochrona przed udostępnieniem danych osobom nieupoważnionym, zabraniem ich przez osobę nieuprawnioną oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administratorzy mają kłopoty z prawidłowym opracowaniem dokumentacji opisującej sposób przetwarzania danych oraz zastosowaniem właściwych środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych odpowiednią do ich kategorii i zagrożeń. Przyczyny tego są różne. Najczęściej to skutek błędnej interpretacji przepisów oraz ich niekonsekwentnego stosowania. Wielu administratorów przyznaje się do braku pieniędzy na pokrycie kosztów wdrażania rozwiązań zapewniających prawidłowe spełnienie wymogów. Do nieprawidłowości przyczynia się też niewłaściwe podejście do ochrony danych osobowych osób odpowiedzialnych za ich przetwarzanie, a nawet lekceważenie prawa. Dowodzi tego niewykonywanie obowiązków, które nie wiążą się z wysokimi kosztami, jak np.

ewidencja osób upoważnionych do przetwarzania danych osobowych czy powołanie ABI.

— Najbliższe dwa lata to wyzwanie dla ustawodawcy i podmiotów przetwarzających dane osobowe. Ustawodawca będzie musiał przede wszystkim dostosować przepisy branżowe do rozwiązań unijnego rozporządzenia. Przedsiębiorcy natomiast będą musieli dostosowywać model przetwarzania danych, przede wszystkim zająć się jego bezpieczeństwem, wdrożeniem procedur organizacyjnych, dostosowaniem treści klauzul informacyjnych przekazywanych podczas zbierania danych osobowych, a także zdecydować o konieczności powołania inspektorów ochrony danych — podkreśla adwokat Anna Dmochowska, specjalista do spraw ochrony danych w ODO 24. Administratorzy danych mają obecnie nawet proceduralne problemy z powołaniem ABI. Jedna trzecia ubiegłorocznych zgłoszeń ich do rejestru GIODO była obarczona brakami formalnymi i błędami. Brakowało w nich wymaganych informacji, nawet tak podstawowych, jak nazwa administratora danych i adres jego siedziby. Poza tym powoływano na ABI niewłaściwe osoby, np. zarządzających podmiotem posiadających status administratora danych. Na wezwania do uzupełnienia braków i korekt napływają obecnie poprawione zgłoszenia, umożliwiające rejestrację kolejnych ABI.

 

20 mln EUR Taką maksymalną karę będzie mógł nałożyć GIODO za naruszenia związane z ochroną danych osobowych lub 4 proc. rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Najważniejsze dzisiaj

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Prawo / GIODO nie wyręczy administratora danych