Najnowszy Raport Związku Firm Ochrony Danych Osobowych (ZFODO) za rok 2022 objął 435 organizacji w okresie od maja 2021 do maja 2022. Organizacje objęte badaniem są obsługiwane przez Firmy zrzeszone w ramach ZFODO.
Rok 2022 przyniósł najwięcej jak do tej pory, bo aż 466 odnotowanych w Raporcie incydentów. To aż o 169 więcej niż w 2020 roku i 157 więcej niż w roku ubiegłym. Jest to pierwszy wynik dający ponad jeden (1,07) incydent przypadający na organizację. Dla porównania, w roku 2020 na jedną organizację przypadało 0,65 incydentu, zaś w 2021- 0,89. Przyczyn takiego stałego wzrostu może być wiele: od zwiększonej świadomości społecznej, a tym samym wykrywalności incydentów, po coraz większą digitalizację firm i procesów.
Zaskakująco niski w porównaniu z poprzednimi raportami okazał się procent incydentów zgłoszonych do Regulatorów. Mimo większej liczby wykrytych w 2022 roku incydentów, prawie 77% z nich nie zostało zgłoszonych do odpowiednich organów nadzorczych. Naruszenia podlegające obowiązkowi zgłoszenia do organu nadzorczego to, zgodnie z RODO, wszystkie przypadki poza tymi, gdy jest mało prawdopodobne, aby naruszenie to skutkowało ryzykiem naruszania praw lub wolności osób fizycznych”. Mamy więc ciekawe zjawisko, gdzie samych zgłoszeń jest coraz więcej ( 6 039 w 2019 r. i 12 777 w 2022 r.) przy jednoczesnym znacząco niskim odsetku tych które są z ogólnej liczby klasyfikowane jako naruszenie podlegające zgłoszeniu.
Jak opisywał to w Dzienniku Gazecie Prawnej mec. Tomasz Osiej, trudno jest jednoznacznie wyjaśnić to zjawisko, bowiem z jednej strony może to być emanacją strachu przed zgłoszeniem, czy szerzej kontaktu z urzędem, który administratorzy mają zakodowany i utrwalony, nawet jeśli jest on irracjonalny czasami. Może być też tak, że wytworzyła się pewna praktyka rynkowa, w której przyjęło się bardziej liberalne podejście do naruszeń, pozostawiając zgłoszenie tylko przypadkom zdecydowanie większej wagi. I chyba do tej ostatniej interpretacji bym się przychylił. Nie wykluczałbym tez, że oba czynniki mają wpływ na finalne decyzje osób odpowiedzialnych za zgłoszenia.
Odsetek incydentów zgłaszanych osobom, których dane dotyczą znacząco spadł w porównaniu z latami 2020 i 2021. Tylko 18,5% przypadków zostało zgłoszonych osobom, których dane dotyczą. To aż 11,5% mniej niż w roku 2020 i 6,43% mniej niż w roku ubiegłym.
Wśród branż najbardziej narażonych na ryzyko wystąpienia naruszeń nadal wysoko utrzymuje się handel i e-commerce. Tym, co różni rok 2022 od poprzednich lat jest wysoki procent (23,3%) branż z sektora finansowego i ubezpieczeniowego. W roku 2021 było to jedynie 9,4%, zaś w 2020, tylko 8%. Branżą najmniej narażoną na incydenty pozostaje bankowość z wynikiem 0,8%. Zgodnie z Raportem to, że branże z sektora prywatnego widnieją w badaniu jako najbardziej narażone na wystąpienie w nich incydentów może wynikać z faktu, że to właśnie te branże są obsługiwane przez firmy zrzeszone w Związku Firm Ochrony Danych Osobowych.
Podstawowym źródłem naruszeń danych osobowych w 2022 roku niezmiennie pozostają źródła wewnętrzne będące przyczyną ponad 86% zbadanych naruszeń. Źródła wewnętrzne obejmują pracowników oraz współpracowników organizacji, w której doszło do naruszenia. Tendencją spadkową charakteryzuje się w dalszym ciągu procent źródeł zewnętrznych (8,37%). Na podobnym poziomie do 2021 roku (5,36%) spośród źródeł naruszeń plasują się w dalszym ciągu podmioty przetwarzające dane osobowe na zlecenie administratora (procesor).
Tegoroczny podział incydentów ze względu na ich umyślny bądź nieumyślny charakter potwierdza tendencję utrzymującą się od wielu lat- prawie 95% przypadków incydentów miało w 2022 roku charakter nieumyślny. Trend ten jest od lat niezmienny i wynosi od 92% do 95%. Jak podkreślono w raporcie, należy mieć na uwadze fakt, że nieumyślne incydenty statystycznie dotyczą niewielkiej liczby osób, podczas gdy ataki hakerskie, kradzieże czy wyłudzenia mające charakter umyślny dotyczą zwykle dużo większej grupy, co w ogólnym rozrachunku może dać podobny, a nawet większy efekt, co wszystkie incydenty nieumyślne.
Najczęściej naruszaną kategorią danych pozostają dane podstawowe stanowiące 74,41% procent naruszeń. Na kolejnych miejscach plasują się te same, co w 2021 roku kategorie danych, mianowicie: PESEL, dane finansowe i dane szczególnej kategorii. Najrzadziej
z wymienionych naruszaną kategorią pozostają dane dotyczące zachowań lub preferencji.
Incydenty ochrony danych osobowych 2020 – raport Związku Firm Ochrony Danych Osobowych
Co ciekawe, mimo że, jak podkreślono w Raporcie, w dalszym ciągu nie widać wyraźnych trendów
w miesiącach występowania naruszeń, luty oraz maj pozostają miesiącami z najwyższym odsetkiem naruszeń. W zasadzie nie zmienia się to od lat i nie znamy przyczyn takiego stanu rzeczy. Sierpień, podobnie jak w 2021 roku charakteryzował się najmniejszą liczbą odnotowanych incydentów.
Nowością w tegorocznym raporcie są naruszenia skutkujące zawiadomieniem organów ścigania. W 2022 roku 7,74% wszystkich zgłoszonych naruszeń stanowiły najpoważniejsze incydenty, które wymagały zgłoszenia organom ścigania.
Pełny raport ZFODO: https://www.zfodo.org.pl/typ/raporty/
