GIODO nie wyręczy administratora danych

opublikowano: 22-06-2016, 22:00

Firmy przetwarzające dane osobowe nie radzą sobie z przepisami. Mają problemy nawet z formalnym powołaniem ABI

Ponad 2,2 tys. skarg wpłynęło w ubiegłym roku do Departamentu Orzecznictwa, Legislacji i Skarg Biura Generalnego Inspektora Ochrony Danych Osobowych (GIODO). To o 225 mniej niż w 2014 r., ale nadal bardzo dużo. W porównaniu z 2010 r. przybyło ich dwukrotnie.

Skargi na banki i internet

Skargi od lat dotyczą podobnych spraw i najczęściej tych samych podmiotów, przetwarzających dane osobowe — banków i innych instytucji finansowych, administracji publicznej, a także portali internetowych lub samego internetu. „Wraz ze wzrostem świadomości osób, które obserwują trendy związane z ochroną tych danych, po wyroku Trybunału Sprawiedliwości Unii Europejskiej z 13 maja 2014 r. (sygn. akt C-131/12), wzrosła liczba skarg na operatorów wyszukiwarek internetowych. Poza tym wraz z rozwojem nowych technologii, z których często korzystają zarówno administratorzy danych, jak i osoby, których dane dotyczą, wzrosła również liczba skarg w tym zakresie” — czytamy w sprawozdaniu z działalności GIODO w 2015 r. GIODO odmówił rozpatrzenia 228 spraw, w 172 nakazał przywrócenie stanu zgodnego z prawem, a 115 umorzył. W postępowaniach zainicjowanych skargami oraz wszczętych przez generalnego inspektora z urzędu 35 spośród 646 wydanych decyzji dotyczyło skierowania spraw do Wojewódzkiego Sądu Administracyjnego w Warszawie — o 6 mniej w 2014 r.

W 329 skargach zakwestionowano legalność działań banków i innych instytucji finansowych. Przykładowy zarzut to kierowanie do klientów informacji handlowych w internetowym serwisie transakcyjnym mimo braku zgody, a nawet sprzeciwu wobec przetwarzania danych osobowych w celach marketingowych. „Bohaterami” skarg były też firmy zajmujące się marketingiem — wpłynęło ich 95 i w większości również związanych z przetwarzaniem danych w celach marketingowych mimo sprzeciwu. Praktyki stosowane w internecie skarżono 336 razy, o 70 mniej niż w 2014 r. Dotyczyły nieuprawnionego udostępniania danych na różnych portalach internetowych.

175 Tyle kontroli zgodności przetwarzania danych osobowych z przepisami ustawy przeprowadził GIODO w 2015 r.

Przed unijną reformą

W związku z rosnącą liczbą skarg generalny inspektor widzi konieczność wprowadzenia zmian systemowych, które zwiększą jego skuteczność. Taką szansę może dać wzmocnienie jego pozycji i przyznanie mu kompetencji do nakładania kar finansowych. Takie rozwiązania wprowadza unijne rozporządzenie ogólne o ochronie danych osobowych, którego przepisy będą bezpośrednio stosowane we wszystkich państwach członkowskich Unii Europejskiej od 25 maja 2018 r. Kary to narzędzie, po które GIODO sięgnie na skutek naruszeń. Może do nich jednak nie dochodzić, jeśli np. administratorzy danych (AD) będą powoływać administratorów bezpieczeństwa informacji (ABI), którzy będąc specjalistami w dziedzinie ochrony danych osobowych, mają obowiązek dbać, aby zatrudniająca ich firma przetwarzała dane zgodnie z prawem. Obecnie ich powołanie jest dobrowolne, ale unijne rozporządzenie przewiduje, że w niektórych przypadkach powołanie inspektorów ochrony danych osobowych (data protection officers — DPO — tak nazywasię ich w rozporządzeniu) będzie wręcz obowiązkowe. Dotyczy to całej administracji publicznej, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. W przedsiębiorstwach obowiązek powołania inspektora będzie spoczywał na tych administratorach i podmiotach przetwarzających, których główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. GIODO zwraca uwagę, że przepisy nie precyzują, co to znaczy duża skala, dlatego konieczne będzie stworzenie wykładni. Powołanie inspektora będzie też obowiązkowe wtedy, gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, np. dane o zdrowiu.

Zadania administratorów

Obecnie zarejestrowanych jest ponad 15,5 tys. ABI, 8 tys. zgłoszeń czeka na rejestrację i liczba ta sukcesywnie rośnie.

— ABI odpowiadają nie tylko za kwestie techniczne, związane np. z szyfrowaniem danych czy prawidłowym zabezpieczeniem systemów informatycznych przed atakami cyberprzestępców, ale także za całokształt prawidłowego przetwarzania danych, a więc za ich ochronę i bezpieczeństwo oraz za szkolenia i doradzanie pracownikom administratora mającym do nich dostęp. ABI mają nadzorować cały proces przetwarzania danych w instytucji — wyjaśnia dr Edyta Bielak-Jomaa, generalny inspektor ochrony danych osobowych. Takie wzmocnienie poziomu ochrony jest potrzebne także dlatego, że GIODO bywa traktowany jak podmiot do świadczenia obsługi prawnej administratorów danych. — Biuro często otrzymuje pytania dotyczące rozwiązań organizacyjnych, jakie powinien przyjąć administrator danych, czy podejmowanych przez niego decyzji. Tymczasem takie rozstrzygnięcia nie leżą w kompetencji GIODO. To administrator danych osobowych, jako podmiot decydujący o celach i środkach przetwarzania danych osobowych, powinien zapewniać przestrzeganie przepisów o ochronie danych osobowych oraz stosować odpowiednie do swojej struktury, realizowanych zadań czy zakresu przetwarzanych danych osobowych (z uwzględnieniem zarówno kategorii danych, jak i skali ich przetwarzania) środki techniczne i organizacyjne w tym zakresie, w tym także przez powołanie ABI — mówi dr Edyta Bielak-Jomaa. Podkreśla, że GIODO ma kompetencje do kontroli przyjętych rozwiązań, nie powinien jednak zastępować przedsiębiorców w realizacji ich obowiązków. Tym większego znaczenia nabiera nowe podejście do administratorów danych, wynikające z unijnego rozporządzenia. To na nich będzie spoczywać obowiązek zastosowania środków technicznych i organizacyjnych odpowiednich do ryzyka, z jakim wiążą się operacje przetwarzania danych dokonywane przez tego administratora (czyli podejście oparte na ryzyku). Poza tym będą musieli wykazać, że zastosowane środki odpowiadają wymaganiom i zasadom określonym w rozporządzeniu (zasada rozliczalności).

Puls Firmy
Użyteczne informacje dla mikro-, małych i średnich firm. Porady i przekrojowe artykuły, dzięki którym dowiesz się, jak rozwinąć biznes
ZAPISZ MNIE
×
Puls Firmy
autor: Sylwester Sacharczuk
Wysyłany raz w tygodniu
Sylwester Sacharczuk
Użyteczne informacje dla mikro-, małych i średnich firm. Porady i przekrojowe artykuły, dzięki którym dowiesz się, jak rozwinąć biznes
ZAPISZ MNIE
Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Nasz telefon kontaktowy to: +48 22 333 99 99. Nasz adres e-mail to: rodo@bonnier.pl. W naszej spółce mamy powołanego Inspektora Ochrony Danych, adres korespondencyjny: ul. Ludwika Narbutta 22 lok. 23, 02-541 Warszawa, e-mail: iod@bonnier.pl. Będziemy przetwarzać Pani/a dane osobowe by wysyłać do Pani/a nasze newslettery. Podstawą prawną przetwarzania będzie wyrażona przez Panią/Pana zgoda oraz nasz „prawnie uzasadniony interes”, który mamy w tym by przedstawiać Pani/u, jako naszemu klientowi, inne nasze oferty. Jeśli to będzie konieczne byśmy mogli wykonywać nasze usługi, Pani/a dane osobowe będą mogły być przekazywane następującym grupom osób: 1) naszym pracownikom lub współpracownikom na podstawie odrębnego upoważnienia, 2) podmiotom, którym zlecimy wykonywanie czynności przetwarzania danych, 3) innym odbiorcom np. kurierom, spółkom z naszej grupy kapitałowej, urzędom skarbowym. Pani/a dane osobowe będą przetwarzane do czasu wycofania wyrażonej zgody. Ma Pani/Pan prawo do: 1) żądania dostępu do treści danych osobowych, 2) ich sprostowania, 3) usunięcia, 4) ograniczenia przetwarzania, 5) przenoszenia danych, 6) wniesienia sprzeciwu wobec przetwarzania oraz 7) cofnięcia zgody (w przypadku jej wcześniejszego wyrażenia) w dowolnym momencie, a także 8) wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych). Podanie danych osobowych warunkuje zapisanie się na newsletter. Jest dobrowolne, ale ich niepodanie wykluczy możliwość świadczenia usługi. Pani/Pana dane osobowe mogą być przetwarzane w sposób zautomatyzowany, w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie się odbywało przy wykorzystaniu adekwatnych, statystycznych procedur. Celem takiego przetwarzania będzie wyłącznie optymalizacja kierowanej do Pani/Pana oferty naszych produktów lub usług.

Z ochroną na bakier

Wyniki ubiegłorocznych kontroli prowadzonych przez GIODO dowodzą, że część administratorów danych nadal ma problemy z prawidłowym wykonaniem podstawowych obowiązków związanych z ochroną danych osobowych. Przede wszystkim nie dopełniają właściwie obowiązków informacyjnych dotyczących zasad przetwarzania danych wobec osób, których dane pozyskują. Jedni w ogóle nie przekazują wymaganych informacji, inni tylko część albo umieszczają je w trudno dostępnych miejscach. Ponadto wciąż mają problemy z prawidłowym formułowaniem treści oświadczeń o wyrażeniu zgody na przetwarzanie danych osobowych przez ich klientów. Nierzadko jest tak sformułowana, że nie daje im możliwości wyboru. Często też w jednym oświadczeniu są łączone pozwolenia na różne cele przetwarzania danych i na rzecz kilku podmiotów. Kuleje też ochrona przed udostępnieniem danych osobom nieupoważnionym, zabraniem ich przez osobę nieuprawnioną oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administratorzy mają kłopoty z prawidłowym opracowaniem dokumentacji opisującej sposób przetwarzania danych oraz zastosowaniem właściwych środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych odpowiednią do ich kategorii i zagrożeń. Przyczyny tego są różne. Najczęściej to skutek błędnej interpretacji przepisów oraz ich niekonsekwentnego stosowania. Wielu administratorów przyznaje się do braku pieniędzy na pokrycie kosztów wdrażania rozwiązań zapewniających prawidłowe spełnienie wymogów. Do nieprawidłowości przyczynia się też niewłaściwe podejście do ochrony danych osobowych osób odpowiedzialnych za ich przetwarzanie, a nawet lekceważenie prawa. Dowodzi tego niewykonywanie obowiązków, które nie wiążą się z wysokimi kosztami, jak np.

ewidencja osób upoważnionych do przetwarzania danych osobowych czy powołanie ABI.

— Najbliższe dwa lata to wyzwanie dla ustawodawcy i podmiotów przetwarzających dane osobowe. Ustawodawca będzie musiał przede wszystkim dostosować przepisy branżowe do rozwiązań unijnego rozporządzenia. Przedsiębiorcy natomiast będą musieli dostosowywać model przetwarzania danych, przede wszystkim zająć się jego bezpieczeństwem, wdrożeniem procedur organizacyjnych, dostosowaniem treści klauzul informacyjnych przekazywanych podczas zbierania danych osobowych, a także zdecydować o konieczności powołania inspektorów ochrony danych — podkreśla adwokat Anna Dmochowska, specjalista do spraw ochrony danych w ODO 24. Administratorzy danych mają obecnie nawet proceduralne problemy z powołaniem ABI. Jedna trzecia ubiegłorocznych zgłoszeń ich do rejestru GIODO była obarczona brakami formalnymi i błędami. Brakowało w nich wymaganych informacji, nawet tak podstawowych, jak nazwa administratora danych i adres jego siedziby. Poza tym powoływano na ABI niewłaściwe osoby, np. zarządzających podmiotem posiadających status administratora danych. Na wezwania do uzupełnienia braków i korekt napływają obecnie poprawione zgłoszenia, umożliwiające rejestrację kolejnych ABI.

 

20 mln EUR Taką maksymalną karę będzie mógł nałożyć GIODO za naruszenia związane z ochroną danych osobowych lub 4 proc. rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Polecane