Prezes Urzędu Ochrony Danych Osobowych przygotował obszerne, bo liczące aż 245 stron, sprawozdanie ze swojej działalności za 2019 r. Zgodnie z prawem, Prezes UODO raz w roku do 31 sierpnia przedstawia Sejmowi RP, Radzie Ministrów, Rzecznikowi Praw Obywatelskich, Rzecznikowi Praw Dziecka oraz Prokuratorowi Generalnemu sprawozdanie ze swojej działalności.
Choć sprawozdanie jest, formalnie, kierowane do najwyższych organów państwowych, jego uważna lektura wskazuje, że koniecznie powinny zainteresować się nim wszystkie podmioty, które na co dzień zajmują się ochroną danych osobowych.
Podstawowe statystyki za 2019 r.
Sprawozdanie składa się z pięciu części, z czego dwa są wstępem i podsumowaniem, zaś w trzech przedstawiono opis prowadzonej przez Urząd działalności.
W pierwszej części sprawozdanie zawiera opis struktury Urzędu i zatrudnienia, jak również opis zadań i uprawnień przyznanych Prezesowi UODO. Z tej części dowiemy się m.in., że w Urzędzie na koniec 2019 r. było zatrudnionych 246 osób, w tym aż 133 miało wykształcenie prawnicze.
W drugiej części została opisana część dotycząca działalności organu nadzorczego wobec sektora publicznego, w tym organów ścigania, oraz prywatnego. Poniżej wskazujemy najważniejsze statystyki udostępnionego przez Prezesa UODO:
- 89 – liczba wniesionych do Wojewódzkiego Sądu Administracyjnego w Warszawie 89 skarg na decyzje lub postanowienia Prezesa UODO, z czego:
- 23 skargi do WSA dotyczyły spraw sektora prywatnego,
- 14 skargi do WSA dotyczyły sektora publicznego,
- 35 skargi na decyzje zostały wydane wobec podmiotów odpowiedzialnych za bezpieczeństwo publiczne i ściganie sprawców czynów zabronionych,
- 3 skargi na decyzje odmawiające udostępnienia informacji w trybie ustawy o dostępie do informacji publicznej oraz
- 14 skarg dotyczących czynności organu na etapie wstępnej oceny skarg.
Dla porównania – w 2018 r. skarg na decyzje lub postanowienia Prezesa UODO było 77
- 14 – liczba wniesionych skarg do sądów administracyjnych na decyzje wydane wobec podmiotów sektora publicznego, w tym 1 na bezczynność.
- 23 – liczba skarg wniesionych na decyzje wydane wobec podmiotów sektora prywatnego (22 skargi do WSA na decyzje organu i 1 skarga na postanowienie wydane przez Prezesa UODO).
- W sprawach wniesionych ze skarg na decyzje Prezesa UODO sądy administracyjne wydały 8 wyroków.
- 1369 – liczba decyzji administracyjnych wydanych Prezes Urzędu Ochrony Danych Osobowych tj. o 842 więcej w stosunku do roku 2018, w którym wydanych było 527 decyzji.
- 9304 – liczba skarg, które wpłynęły organu nadzorczego, tj. o 3739 więcej w stosunku do roku 2018, w którym skarg tych odnotowano 5565.
- 98 – liczba przeprowadzonych kontroli przestrzegania przez administratorów oraz podmioty przetwarzające, obowiązujących przepisów prawa ochrony danych osobowych:
- 20 kontroli w podmiotach sektora prywatnego,
- 25 kontroli w podmiotach sektora publicznego,
- 23 kontrole u organów ścigania i sądów,
- 22 kontrole w podmiotach sektora zatrudnienia, zdrowia i szkolnictwa oraz
- 8 kontroli sprawdzających wykonanie obowiązku wynikającego z decyzji Prezesa UODO przeprowadzonych przez jednostkę egzekucyjną Urzędu.
Dla porównania, w 2018 r. przeprowadzono łącznie 72 kontrole – 40 kontroli w okresie 1 stycznia – 24 maja 2018 r. i 32 kontrole w okresie od 25 maja – 31 grudnia 2018 r.
- 691 – liczba projektów aktów prawnych zaopiniowanych przez Prezesa UODO, z czego największym był projekt ustawy sektorowej wdrażającej RODO (Projekt ustawy z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku Z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 Z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE)
- 6039 – liczba przeprowadzonych analiz zgłoszeń naruszeń m.in. pod kątem wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, w tym:
- 3894 zostało zgłoszonych przez podmioty sektora prywatnego,
- 2145 przez podmioty sektora publicznego, zaś
- 69 zgłoszonych w międzynarodowym systemie informatycznym (IMI).
W przypadku sektora prywatnego najwięcej zgłoszeń napłynęło od podmiotów:
- telekomunikacyjnych (1433),
- ubezpieczeniowych (638),
- banków i podmiotów finansowych (527) oraz
- służby zdrowia (206).
W sektorze publicznym zawiadomienia o incydentach z danymi osobowymi najczęściej nadsyłały:
- jednostki samorządu terytorialnego (453),
- szkoły, przedszkola, żłobki (148) oraz
- placówki służby zdrowia (166)
- 8 – liczba administracyjnych kar pieniężnych. Karą objęte zostały następujące podmioty: spółka prowadząca sprzedaż online, spółka przetwarzająca dane z rejestrów publicznych, wspólnota mieszkaniowa, spółka zajmująca się ochroną mienia i ludzi, stowarzyszenie sportowe, spółka zarządzająca nieruchomościami, burmistrz miasta oraz spółka prowadząca marketing w sieci.
- 2812 – liczba pism zawierających pytania z zakresu ochrony danych osobowych.
- 1 – liczba wniosków o zatwierdzenie projektu kodeksu. Był to „Kodeks dobrych praktyk w zakresie przetwarzania danych osobowych przez spółdzielnie mieszkaniowe zrzeszone w Związku Rewizyjnym Spółdzielni Mieszkaniowych RP”.
Co istotnego kryje się w sprawozdaniu?
Choć sprawozdanie za 2019 r. jest niewątpliwie bardzo obszerne, naprawdę warto się z nim zapoznać.
Jego objętość wynika głównie z tego, że Prezes Urzędu zaprezentował w nim opisy wydanych decyzji oraz opisy działań wobec podmiotów publicznych i prywatnych skupując się na najczęstszych problemach pojawiających się w większości branż gospodarki. W opisach tych znajdziemy próby ukazania w jaki sposób organ radzi sobie z tymi problemami w wydanych decyzjach, jeśli zaś nie wydał decyzji – jakie ma stanowisko w danej sprawie. Prezes UODO opisuje m.in. w jaki sposób prowadzi kontrole i na co zwraca uwagę w ramach takiej kontroli. Warto podkreślić, że szczególny nacisk został postawiony na konieczność przeprowadzenia analizę ryzyka i ocenę skutków.
Bardzo ważnym elementem sprawozdania, często pomijanym w przestrzeni publicznej, jest opis efektywności egzekucji administracyjnej prowadzonej przez organ nadzorczy. Warto podkreślić, za Prezesem UODO, że w przypadku niewykonania decyzji przez jej adresata, organ posiada także uprawnienie w postaci nałożenia kolejnej administracyjnej kary pieniężnej – tym razem za nieprzestrzeganie nakazu orzeczonego na podstawie art. 58 ust. 2 RODO. Wysokość kary nałożonej w takim przypadku może sięgać 20 000 000 EURO, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Prezes UODO pochwalił organy publiczne, że maleje liczba zgłoszeń naruszeń wskazując, że to dzięki zwiększeniu bezpieczeństwa i szkoleń. Wskazał taż, że są jednak organy, gdzie dochodzi do sporej liczby naruszeń: wskazał tu m.in. ZUS, izby administracji skarbowej (KAS), urzędy gmin czy ministerstwa (rozstrzał ogromny) – pomyłki w adresowaniu czy anonimizacji danych.
Sprawozdawanie zawiera również opis działalności informacyjno-edukacyjnej prowadzonej w poprzednim roku oraz opis działalności organu nadzorczego w ramach współpracy europejskiej i międzynarodowej.
Podsumowanie
Sprawozdanie Prezesa UODO jest ważnym dokumentem, niewątpliwie wartym prześledzenia. Odbiorcą tego dokumentu nie powinny być tylko władze państwowe, ale przede wszystkim podmioty, które stosują przepisy o ochronie danych – zarówno podmioty publiczne, jak i podmioty prywatne. Szereg stanowisk, komentarzy czy opinii wyrażonych w sprawozdaniu jest nie tylko podsumowaniem rocznej działalności Prezesa UODO, ale też swoistym materiałem merytorycznym, który warto poznać.
Polecamy także artykuł pt:” Inspektor Ochrony Danych w sprawozdaniu Prezesa UODO” , który dostępny jest tutaj
ZAPRASZAMY na 5-dniowe Kompleksowe Szkolenie na Inspektorów Ochrony Danych w formie on line już od 24 września.
Szczegóły szkolenia oraz formularz zapisu znajdą Państwo tutaj