Na stronie internetowej Prezesa Urzędu Ochrony Danych Osobowych zostało opublikowane sprawozdanie z jego działalności za 2018 r., które jest dostępne: tutaj.
W niniejszym artykule dokonano próby ogólnego podsumowania tego dokumentu.
Sprawozdanie składa się z czterech głównych części, tj. wstępu, ochrony danych osobowych obywateli, działalności edukacyjno-informacyjnej oraz współpracy międzynarodowej.
W części pierwszej, tj. wstępie, kluczowe są przede wszystkim dwie informacje: budżet Urzędu oraz jego struktura organizacyjna. Wydatki w 2018 r. wyniosły około 25 mln PLN, czyli 5 mln więcej niż plan wydatków GIODO na rok 2017 r. Jednocześnie wyraźnie wzrosło zatrudnienie: od 161,25 etatu w styczniu do 232,25 etatu w grudniu 2018 r., jak również zmieniono strukturę organizacyjną Urzędu. Na czym polegały ów zmiany? Naturalnie przedstawione dane nie pozwalają na pełną analizę, jednak można sformułować pewne wnioski.
Pierwsza grupa zmian polegała na proporcjonalnym wzroście zatrudnienia w poszczególnych departamentach. Np. Departament Współpracy Międzynarodowej z 12 osób, powiększył się do 16 osób, a dział Informatyki z 10 do 13 osób. Druga grupa zmian polegała natomiast na rozformowaniu trzech największych departamentów, tj. Departamentu Inspekcji (24 osoby), Departamentu Orzecznictwa Legislacji i Skarg (58 osób) oraz Departamentu Rejestracji (19 osób) i utworzeniu w ich miejsce sześciu zespołów, w większości tematycznych, tj. Zespołu ds. Sektora Organów Ścigania i Sądownictwa (15 osób), Zespołów ds. Sektora Prywatnego (30 osób) i Publicznego (25 osób), Zespołu ds. Sektora Zdrowia, Zatrudnienia i Szkolnictwa (24 osoby) oraz Zespołu Wstępnej Oceny Skarg (18 osób). Łączna ilość zatrudnionych w trzech poprzednio istniejących departamentach to 101 osób, a w sześciu nowych zespołach 131. Tak więc procentowy wzrost jest dość podobny jak w ww. przypadkach departamentów Informatyki oraz Współpracy Międzynarodowej. Warto również zwrócić uwagę, że na 16 nazwisk osób wymienionych jako dyrektorzy/kierownicy zespołów na stronie Urzędu (nie licząc Prezesa UODO oraz jego Zastępcy) przynajmniej 14 wcześniej pełniło funkcję dyrektora lub zastępcy dyrektora .
Co wynika z powyższych informacji? Po pierwsze, ilość pracowników pozostawionych jednostek wzrosła mniej więcej proporcjonalnie do ogólnego wzrostu zatrudnienia w Biurze. Po drugie, zamieniono 3 departamenty na 6 zespołów, przy czym Zespół Wstępnej Oceny Skarg, sądząc po nazwie, działa horyzontalnie, natomiast pozostałe pięć zespołów zostało wydzielonych tematycznie. Ponadto należy założyć, że pracownicy działu Inspekcji zostali włączeni w struktury innych departamentów (Urząd nie mógłby po prostu zlikwidować tego Departamentu). Po trzecie, blisko 90 % kadry zarządzającej pozostało bez zmian.
Podsumowując powyższe rozważania, należy stwierdzić, że zmiany pomiędzy GIODO a PUODO nie są tak duże, jakby mogło się to na pierwszy rzut oka wydawać. Większość jednostek zmieniła jedynie nazwy z „departamentów” na „zespoły”. Dodatkowo, pięć nowo powstałych zespołów działa tematycznie, czyli zasadniczo przypomina wcześniej istniejący Departament Orzecznictwa Legislacji i Skarg, który po prostu zajmował się wszystkimi tematami. Pozostawiono również około 90% kadry zarządzającej. Nowością natomiast jest wydzielenie zespołu horyzontalnego do wstępnej oceny skarg oraz, przede wszystkim, (prawdopodobne) włączenie inspektorów do poszczególnych działów tematycznych. Tak więc zmiany te raczej przypominają znaczącą modyfikację struktury, a nie ukonstytuowanie się całkiem nowego Urzędu. Naturalnie trzeba zaznaczyć, że ww. analiza opiera się głównie na informacjach podanych przez urząd, a dodatkowe informacje mogłyby ją zmienić. Ponadto to, że zmiana jest stosunkowo niewielka nie jest samo w sobie ani pozytywne ani negatywne, po prostu należy się spodziewać, że Urząd będzie działał podobnie jak do tej pory.
Druga część, tj. ochrona danych osobowych obywateli, stanowi zasadniczą część sprawozdania. Po 25 maju 2018 r. zdecydowanie wzrosła liczba skarg wpływających do Urzędu. Do tego dnia UODO otrzymał około 1000 skarg, natomiast po maju liczba ta wyniosła około 4500. Postępowania dotyczyły bardzo szerokiego spektrum obszarów, a w niniejszym artykule zostaną omówione najciekawsze, zdaniem autora, stanowiska Urzędu.
W słynnej już sprawie związanej z umieszczaniem numeru PESEL w decyzji administracyjnej, w celu oznaczenia stron, organ stwierdził, że w przypadku osób fizycznych będących stroną postępowania administracyjnego wystarczające jest podanie takich danych, jak: imię, nazwisko oraz adres zamieszkania. Inne dane mogą być podawane tylko wówczas, gdy wynika to wprost z przepisu prawa. Z tego względu umieszczanie na niej numeru PESEL jest co do zasady niedopuszczalne. Prezes Urzędu odniósł się również do kwestii, tzw. informowania o nieprawidłowościach. W jednej ze spraw, uznał on, że burmistrz nie powinien w nieuzasadniony sposób udostępniać danych osobowych, tzw. sygnalistów, czyli osób zgłaszających nieprawidłowości w sprawach, w których nie są stroną (ani uczestnikiem), na rzecz stron (uczestników) tych postępowań. Niestety Prezes UODO nie wskazał, z jakiego konkretnie powodu nie należy spełnić obowiązku informacyjnego. Jedną z najczęściej składanych skarg w sektorze bankowym jest ta związana z kwestionowaniem przez skarżących przetwarzania ich danych osobowych przez banki w zbiorach danych podmiotów, o których mowa w art. 105 ust. 4 prawa bankowego. Skargi te dotyczą w głównej mierze przetwarzania danych osobowych dłużników w zbiorach danych dłużników, którzy nie wywiązali się ze zobowiązań wobec banku. Jednakże Prezes UODO wskazał, że aby przetwarzanie takie było dopuszczalne, bank musi o tym uprzednio poinformować osobę. Następną interesującą kwestią są samorządy zawodowe. Prezes UODO uznał, że adwokat, który przetwarza dane osobowe osób trzecich, pozyskane od swoich klientów, nie musi powiadamiać tych osób o zbieraniu i przetwarzaniu ich danych, gdyby naruszało to tajemnicę zawodową. Prezes UODO wypowiedział się również, na temat ukrytych rekrutacji stwierdzając, że taka praktyka jest niezgodna z RODO. W związku z prowadzeniem tzw. „ukrytych rekrutacji” kandydaci do pracy nie posiadają wiedzy, jaki podmiot zbiera ich dane osobowe i wobec jakiego podmiotu mogą realizować swoje prawa. Wysłanie obowiązku informacyjnego po otrzymaniu informacji również jest niezgodne z przepisami, ponieważ obowiązek należy spełnić w momencie zbierania danych.
Wśród obszarów kontrolowanych po wejściu w życie RODO znalazły się m. in. firmy windykacyjne i instytucje finansowe. W toku jednej z takich kontroli, Prezes UODO stwierdził, że przedsiębiorca zajmujący się obrotem wierzytelnościami/dochodzący swojej wierzytelności może co do zasady podawać do publicznej wiadomości dane osobowe dłużników w celu sprzedaży wierzytelności. Jest to bowiem konieczne do określenia danej wierzytelności wystawionej na sprzedaż, a działanie takie znajduje oparcie w art. 6 ust. 1 pkt f RODO. Innym ciekawym obszarem kontroli był telemarketing, a konkretnie postępowanie dotyczące podmiotu świadczącego tego typu usługi na rzez innych. Niestety, z uwagi na konieczność współpracy z innym organem Unii Europejskiej, postępowanie jeszcze się nie zakończyło.
Jednym z najciekawszym tematów, z punktu widzenia przedsiębiorstw, jest naturalnie kwestia zgłaszania naruszeń ochrony danych osobowych. Od 25 maja do 31 grudnia 2018 r. UODO dokonał analizy 2 446 zgłoszeń naruszeń pod kątem wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, w tym 1 882 naruszeń zostało zgłoszonych przez podmioty sektora prywatnego, zaś 564 przez podmioty sektora publicznego. W sektorze prywatnym, zgłaszane naruszenia najczęściej dotyczyły: wysłania danych do niewłaściwego odbiorcy, luk bezpieczeństwa w systemach informatycznych, wysłania emaila do wielu adresatów zawierającego emaile innych adresatów (wpisanie ich w rubryce do wiadomości), niezamierzonej publikacji danych na stronie internetowej, przesłania newslettera z błędnie skonstruowanego skryptu adresów e-mail do wszystkich odbiorców newslettera wraz z linkiem umożliwiającym usunięcie się z bazy; utracenie umowy z klientem, udostępnienie w trakcie rozmowy telefonicznej danych innego klienta przez pracownika call center, kradzież niezaszyfrowanych urządzeń informatycznych, zagubienie dokumentacji papierowej oraz ataki hackerskie. Niestety w sprawozdaniu nie znalazły się informacje odnośnie tego w jaki sposób zgłoszenia są oceniane, pod kątem stopnia ich poważności.
Ponadto w omawianej części sprawozdania znalazły się również informacje dotyczące m. in. uwag Prezesa Urzędu do poszczególnych ustaw, natomiast ich przytoczenie naturalnie wykracza poza ramy niniejszego podsumowania. Ponadto do Urzędu wpłynęły trzy wnioski o zatwierdzenie kodeksów postępowania, dwa w obszarze ochrony zdrowia ,a jeden w obszarze bankowym, jednakże jak do tej pory nie zostały one jeszcze zatwierdzone.
W części trzeciej, dotyczącej działalności edukacyjnej oraz informacyjnej przede wszystkim wymieniono szkolenia oraz kampanie informacyjne organizowane przez Prezesa Urzędu w minionym roku. Ponadto omówiono jego relacje z mediami. Z pewnością warto wspomnieć o łącznie pięciu bezpłatnych szkoleniach skierowanych do Administratorów Bezpieczeństwa Informacji, a następnie do Inspektorów Ochrony Danych. Ponadto ruszyła kolejna edycja programu Twoje Dane – Twoja Sprawa, w ramach którego zorganizowano łącznie około 5000 lekcji oraz wydarzeń tematycznych. Ponadto Prezes UODO opisał wydane przez siebie poradniki, z których warto w szczególności wymienić następujące: „Jak rozumieć podejście oparte na ryzyku?” oraz „Jak stosować podejście oparte na ryzyku?” (maj 2018); „Wskazówki Prezesa Urzędu Ochrony Danych Osobowych dotyczące wykorzystania monitoringu wizyjnego” oraz „Ochrona danych osobowych w miejscu pracy. Poradnik dotyczący zatrudnienia” (październik 2018).
Część czwarta, dotyczyła uczestnictwa w pracach międzynarodowych organizacji
i instytucji zajmujących się problematyką ochrony danych osobowych. W części tej pokrótce opisano prace Grupy Roboczej Art. 29 oraz jej następcy Europejskiej Rady Ochrony Danych w 2018 r. oraz wskazano w jakich międzynarodowych inicjatywach Urząd brał udział.
