Liczba naruszeń prawa w obszarze ochrony danych osobowych zgłaszanych w 2022 r. nie odbiegała od tej z 2021 r. Ile zgłoszeń naruszeń prawa było w 2022 r.? Jak ich liczba zmieniła się w porównaniu z latami ubiegłymi?
W 2022 r. administratorzy danych zgłosili do Urzędu Ochrony Danych Osobowych 12 777 naruszeń przepisów od administratorów danych osobowych. W 2021 r. zgłoszeń tych było 12 946, ale w 2020 r. – około 7,5 tys.
Świadomość administratorów danych rośnie
Świadomość administratorów w kontekście naruszeń wyraźnie rośnie – ocenił rzecznik UODO Adam Sanocki, dodając, że poprawa działań jest także zauważalna, jeśli chodzi o powiadamianie osób, których dotyczy dane naruszenie. „W tym obszarze wygląda to lepiej niż w poprzednich latach. Nie idzie jednak za tym wzrost świadomości dotyczący innych obowiązków administratorów związanych z naruszeniami ochrony danych” – zaznaczył rzecznik. Jak wskazał, administratorzy odnotowują fakt wystąpienia naruszenia, zgłaszają go do UODO i na tym poprzestają. Nie zawsze idzie za tym większe zaangażowanie w odpowiednie mierzenie i testowanie środków technicznych oraz rozwiązań organizacyjnych, które często są powodem naruszenia – podkreślił Sanocki.
Jakie naruszenia zgłaszana są do UODO?
Wśród zgłaszanych do Urzędu naruszeń regulacji dotyczących ochrony danych osobowych częste są przypadki wysyłki danych do niewłaściwego odbiorcy czy niewłaściwego zabezpieczenia danych, przez co dostęp do nich zyskują osoby nieuprawnione. Dochodzi także do niewłaściwej anonimizacji danych przez co dochodzi do przypadkowego ujawnienia tych danych. Cześć naruszeń polega na zaszyfrowaniu danych osobowych w wyniku działania złośliwego oprogramowania typu ransomware – wyjaśnił Sanocki.
Jak pracownicy naruszają przepisy o ochronie danych?
Z informacji UODO wynika także, że zdarza się, iż pracownicy mający dostęp do danych wykorzystują go do celów prywatnych. W niektórych przypadkach dokumenty z danymi, zamiast trafić do niszczarki są wynoszone i służą np. jako rozpałka w kominku. W jednym przypadku pracownik przekazał dane jasnowidzowi, chcąc w ten sposób dowiedzieć się, co na jego temat myślą współpracownicy – podkreślił rzecznik UODO.
Jak dodał Sanocki, kontrole Urzędu wykazują, że niektórzy administratorzy nie do końca rzetelnie przeprowadzają analizę ryzyka. Przez to zastosowane przez nich zabezpieczenia techniczne, jak i organizacyjne bywają niedoszacowane do faktycznych zagrożeń. „Są i tacy administratorzy, którzy bardzo dużą wagę przykładają do technicznych zabezpieczeń, zapominając jednocześnie o szkoleniu pracowników i przypominaniu im o podstawowych zasadach. A to właśnie czynnik ludzki jest decydujący, jeśli chodzi o ataki typu ransomware, do których dochodzi po kliknięciu przez pracowników w linki z nieznanych źródeł czy w korespondencji, w której przestępcy podszywają się pod inny podmiot” – wyjaśnił rzecznik.
Za naruszenia danych osobowych dotkliwe kary
Sprawy o największej wadze ze względu na skalę naruszenia, czy z uwagi na wrażliwość danych zakończyły się karami nałożonymi przez Prezesa UODO. „Na uwagę zasługuje kara związana z naruszeniem w Fortum Marketing and Sales Polska S.A. UODO nałożył na tę spółkę karę pieniężną w wysokości ponad 4,9 mln zł za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu przetwarzającego. Naruszenie ochrony danych w tym przypadku polegało na skopiowaniu bardzo wielu danych klientów administratora przez nieuprawnione osoby. Doszło do tego w momencie wprowadzania zmiany w środowisku teleinformatycznym” – poinformował Sanocki. Jak zaznaczył, jest to najwyższa jak dotąd kara nałożona przez Prezesa UODO.
Obchodzony 28 stycznia Dzień Ochrony Danych Osobowych został ustanowiony dla upamiętnienia rocznicy otwarcia do podpisu najstarszego aktu prawnego o zasięgu międzynarodowym, kompleksowo regulującego zagadnienia związane z ochroną danych osobowych. Aktem tym jest Konwencja 108 Rady Europy z 28 stycznia 1981 r. w sprawie ochrony osób w zakresie zautomatyzowanego przetwarzania danych osobowych. Polska włączyła się w organizację Dnia Ochrony Danych Osobowych w roku 2007 r.(PAP)