Organ nadzorczy wskazał w sprawozdaniu, że podobnie, jak w ubiegłych latach, do najczęściej zgłaszanych naruszeń należały:
- nieprawidłowe zaadresowanie korespondencji – zarówno w formie tradycyjnej, jak i elektronicznej skutkujące udostępnieniem danych osobowych osobom nieuprawnionym. Naruszenia te były w większości przypadków spowodowane błędem pracownika administratora i miały z reguły charakter jednorazowego incydentu;
- udostępnienie danych niewłaściwej osobie. Do tego typu naruszeń zazwyczaj dochodziło z powodu przekazania dokumentów (np. deklaracji podatkowych) osobom nieuprawnionym;
- nieprawidłowa anonimizacja danych lub niezamierzona ich publikacja. Takie naruszenia zazwyczaj polegały na publikacji danych osobowych na stronie internetowej administratora, czy też udostępnienie ich w trybie dostępu do informacji publicznej, w tym w Biuletynie informacji publicznej i dziennikach urzędowych;
- zagubienie korespondencji przez operatora pocztowego lub otwarcie korespondencji przed zwróceniem jej do nadawcy. Tego typu naruszenia były zazwyczaj spowodowane działaniem operatora pocztowego;
- nieuprawniony dostęp do baz danych. Naruszenia tego typu najczęściej były spowodowane błędami oprogramowania, które nie zostały wykryte wskutek braku regularnych testów bezpieczeństwa, jak również nieprawidłowościami w zakresie nadawania uprawnień w systemach informatycznych;
- zagubienie, kradzież lub pozostawienie dokumentacji papierowej w niezabezpieczonym miejscu. Tego typu naruszenia co do zasady miały charakter jednorazowych incydentów i były konsekwencją braku ostrożności pracowników;
- zagubienie lub kradzież nośnika danych. Tego typu naruszenia spowodowane były zazwyczaj utratą nośników danych, takich jak laptop czy niezaszyfrowany pendrive;
- wykorzystanie złośliwego oprogramowania ingerującego w poufność, integralność lub dostępność danych osobowych. Powodem tych naruszeń było wykorzystywanie podatności systemów informatycznych. Nieraz do wystąpienia naruszenia przyczyniali się sami administratorzy, którzy korzystali z nieaktualnego oprogramowania;
- korzystanie z aplikacji, w których występowały błędy umożliwiające nieautoryzowany dostęp do zasobów, poprzez dostęp do identyfikatora wskazanego zasobu (podatności IDOR). Jak zauważył organ nadzorczy, podatność IDOR w połączeniu z numerycznymi identyfikatorami sprawiała, że ryzyko nieuprawnionego dostępu do danych istotnie rosła.
Organ nadzorczy skierował do administratorów, którzy zgłosili naruszenia 759 pisemnych wezwań do złożenia wyjaśnień i udzielił 4 pisemnych informacji związanych z przedmiotowymi naruszeniami. W 684 przypadkach Prezes UODO skierował wystąpienia do administratorów, którzy co prawda zgłosili naruszenie, ale pomimo istnienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, nie powiadomili tych osób o naruszeniu albo zawiadomienie nie zawierało wszystkich elementów wymaganych przepisami RODO.
Organ nadzorczy wydał w 2023 r. 36 decyzji administracyjnych związanych ze zgłoszonymi naruszeniami. W 17 decyzjach udzielił upomnienia administratorom, zaś w jednej z nich dodatkowo nakazał dostosowanie operacji przetwarzania do przepisów RODO. 19 naruszeń spowodowało wydanie przez regulatora decyzji administracyjnych, w których ukarał on administratorów administracyjnymi karami pieniężnymi, a w 8 z tych decyzji organ nadzorczy dodatkowo nakazał dostosowanie operacji przetwarzania do przepisów RODO lub zawiadomić o naruszeniu osoby, których dane dotyczyły. Co ciekawe, jedynie 7 decyzji Prezesa UODO wydanych wskutek stwierdzonych naruszeń, zostało zaskarżonych do Wojewódzkiego Sądu Administracyjnego w Warszawie.
Więcej kar, ale spadek ich łącznej wysokości
Organ nadzorczy wskazał w sprawozdaniu, że w 2023 r. nałożył kary pieniężne na 31 podmiotów, o łącznej wysokości 1 230 331,28 zł. W porównaniu z 2022 r. zaobserwować można zatem wzrost liczby kar nałożonych przez regulatora (w 2022 r. było to 20 kar), niemniej ich łączna wysokość znacznie spadła ( w 2022 r. wynosiła ona aż 7 850 861 zł). Oznacza to – jak podkreśla Prezes UODO – wzrost ilościowy nałożonych kar o 55% i spadek ich łącznej wysokości o 85%.
Wśród 31 podmiotów ukaranych przez regulatora w 2023 r., aż 10 z nich należało do sektora finansów publicznych. 15 kar zostało nałożonych na spółki prawa handlowego, 3 na osoby fizyczne prowadzące działalność gospodarczą, 1 na wspólnotę mieszkaniową, 1 na spółdzielnię mieszkaniową oraz 1 na organ samorządu zawodowego.
Warto również zwrócić uwagę, że w 2023 r. uprawomocniło się 9 decyzji regulatora, nakładających na 10 podmiotów kary w łącznej wysokości 208 293,28 zł, z czego 5 kar zostało zapłaconych, a pozostałe są na etapie egzekucji. Co ciekawe, regulator wskazał, że 3 kary zostały zapłacone dobrowolnie przez ukarane podmioty, pomimo że decyzje w ich sprawach jeszcze się nie uprawomocniły. W 4 kolejnych sprawach Prezes UODO oczekiwał – na dzień 31 grudnia 2023 r. – na uprawomocnienie decyzji i wszczęcie postępowania egzekucyjnego.
W 2023 r. 13 decyzji nakładających kary (na łączną kwotę 856 660 zł) zostało zaskarżonych do Wojewódzkiego Sądu Administracyjnego w Warszawie. W dwóch przypadkach WSA oddalił skargi, w jednym przypadku kara została uchylona przez WSA i trafiła do NSA (skarga kasacyjna organu nadzorczego), zaś w przypadku 10 kar trwają postępowania sądowo-administracyjne (stan na dzień 31 grudnia 2023 r.). Ciekawostką jest, że w przypadku jednej kary (22 848 zł), Prezes UODO wznowił postępowanie na podstawie art. 145 § 1 pkt 5 Kodeksu postępowania administracyjnego. Zgodnie z tym przepisem, w sprawie zakończonej decyzją ostateczną wznawia się postępowanie, jeżeli wyjdą na jaw istotne dla sprawy nowe okoliczności faktyczne lub nowe dowody istniejące w dniu wydania decyzji, nieznane organowi, który wydał decyzję. Po ponownym przeprowadzeniu postępowania administracyjnego organ nadzorczy uchylił własną decyzję administracyjną i w miejsce kary udzielił administratorowi upomnienia.