iSecure logo
Blog

Sprawozdanie z działalności Prezesa UODO w liczbach

Jak co roku, Prezes Urzędu Ochrony Danych Osobowych opublikował sprawozdanie ze swojej działalności. Na ponad 308 stronach znajdziemy rozległe informacje o realizacji ustawowych zadań związanych z kontrolą przestrzegania przepisów o ochronie danych osobowych, przyjmowaniem zgłoszeń, naruszeń i rozpatrywaniem skarg, opiniowaniem aktów prawnych, uczestnictwem w pracach międzynarodowych czy działalności edukacyjno-informacyjnej. To szczególnie istotny raport, który pozwala na ocenę efektywności i skuteczności działania Urzędu w dziedzinie ochrony danych osobowych. Odnajdziemy tam oprócz danych statystycznych, analizę trendów oraz kluczowe wnioski dotyczące poziomu ochrony danych osobowych w Polsce. Przedstawione zostały również główne wyzwania i problemy, które spotykają Administratorów danych, również z nawiązaniem do wymierzonych przez UODO kar.

Wszystkich chętnych, którzy chcieliby zapoznać się ze szczegółowym opisem ubiegłego roku, odsyłam bezpośrednio do sprawozdania, służącego w niniejszym artykule za źródło danych. Można je odnaleźć na stronie internetowej UODO:  https://uodo.gov.pl/pl/487/2279.

Struktura organizacyjna i zatrudnienie

Łączny stan zatrudnienia w Urzędzie, w 2022 roku wynosił na początku 2022 roku – 252 osoby, a na koniec roku – 243 osoby. Powyższe cyfry nie zawierają Prezesa UODO ani jego Zastępcy. Dwa departamenty, będące jednymi z najważniejszych merytorycznie (i co za tym idzie, największych kadrowo), na koniec 2022 roku zatrudniały odpowiednio:

Departament Kontroli i Naruszeń – 43 osoby, w tym:

  • Wydział Kontroli – 12 osób,
  • Wydział Naruszeń – 25 osób.

Departament Skarg – 78 osób, w tym:

  • Wydział ds. Sektora Publicznego – 11 osób,
  • Wydział ds. Sektora Prywatnego – 20 osób,
  • Wydział ds. Sektora Zdrowia, Zatrudnienia i Szkolnictwa – 17 osób,
  • Wydział ds. Sektora Finansowego, Ubezpieczeń i Telekomunikacji – 18 osób.

Skargi

Zgodnie z art. 77 RODO, każda osoba, która uważa, iż przetwarzanie jej danych osobowych narusza przepisy RODO, może wnieść skargę do organu nadzorczego. Tylko w 2022 roku do Prezesa UODO wpłynęło 6995 takich skarg. Dla porównania, w 2021 roku było ich aż 8318. Każda pojedyncza skarga jest analizowana pod kątem spełniania wymogów formalnych, a następnie prowadzone są działania zmierzające do merytorycznego rozstrzygnięcia sprawy i ostatecznego poinformowania o efektach rozpatrywania skargi. Jak wskazuje UODO, wpływające skargi najczęściej nie zawierały określenia żądania, z którym zwracał się skarżący lub nie były kierowane bezpośrednio przez osobę, której dane dotyczą (a dotyczyły praw osób trzecich). Ponadto, niektóre ze skarg wybiegały w przyszłość, wskazując na operacje przetwarzania, które nie miały miejsca w momencie składania skargi. Grupując skargi na ilość spraw, które przypadły poszczególnym Wydziałom w Departamencie Skarg, ich ilość wygląda jak poniżej:

  • Wydział ds. Sektora Publicznego – 1199 skarg,
  • Wydział ds. Sektora Prywatnego – 2290 skarg,
  • Wydział ds. Sektora Zdrowia, Zatrudnienia i Szkolnictwa – 1346 skarg,
  • Wydział ds. Sektora Finansowego, Ubezpieczeń i Telekomunikacji – 1466 skarg.

Dodatkowo wpłynęło 475 skarg na podmioty z sektora transgranicznego. Przez cały 2022 rok zakończono prowadzone postępowania w 6479 sprawach, dotyczą one również spraw zaczętych w ubiegłych latach.

W odniesieniu do skarg jednak tym razem na działanie Urzędu Ochrony Danych Osobowych: w 2022 r. do Urzędu wpłynęło 28 takich skarg. Najczęściej ich zarzuty dotyczyły bezczynności lub przewlekłego załatwiania spraw przez UODO.

Naruszenia

Jednym z podstawowych obowiązków Administratorów danych jest zgłaszanie naruszeń ochrony danych osobowych. Jest to narzędzie, które ma za zadanie przyczynić się do realnej poprawy bezpieczeństwa danych osobowych. W 2022 roku z takiej możliwości, jak się wszyscy domyślają, korzystano wielokrotnie. Do Urzędu wpłynęło łącznie 12 722 zgłoszeń naruszeń. Jest to niewiele mniejsza liczba niż w roku 2021, gdzie licznik zatrzymał się na 12 946 zgłoszeniach. Jak wskazuje Urząd, zarówno ilość zgłaszanych naruszeń, jak i ich najczęstsze rodzaje, pozostały bardzo podobne. 637 ze zgłoszonych naruszeń spotkało się z odpowiedzią Urzędu w postaci pisemnego wezwania do złożenia wyjaśnień lub informacji. Rok 2022 obfitował w nałożenie administracyjnych kar pieniężnych łącznie na 20 podmiotów, a łączna kwota opiewała na 7 850 861 zł. Dokładnie połowa (10) z wymierzonych kar, na łączną kwotę 158 184 zł nie została zaskarżona przez strony do sądu administracyjnego i ostatecznie stały się prawomocne. 9 kar zostało zaskarżonych do WSA, do momentu publikacji sprawozdania: 2 skargi zostały oddalone, 2 kary zostały uchylone przez Sąd (sprawy będą kontynuowane przed NSA), a pozostałe 5 postępowań jest nadal w toku.

Kontrole przestrzegania przepisów o ochronie danych osobowych

W myśl art. 78 Ustawy o ochronie danych osobowych, Prezes UODO przeprowadza kontrolę przestrzegania przepisów o ochronie danych osobowych. Mogą to być kontrole planowe lub przeprowadzane w ramach monitorowania przestrzegania przepisów RODO. Rok 2022 Prezes UODO zakończył przeprowadzeniem wyżej wspomnianych kontroli w 40 podmiotach. Kontrole planowe, przeprowadzone zgodnie z planem kontroli sektorowych UODO objęły swoim zasięgiem podmioty z sektora bankowego, przetwarzające dane osobowe w Systemach SIS oraz WSI, jak również podmioty, które przetwarzają dane osobowe przy użyciu mobilnych aplikacji. Organ nadzorczy wytypował wymienione 3 grupy podmiotów jako istotne, z uwagi na liczne pytania, skargi i zgłoszenia naruszeń ochrony danych, które wskazują na duże zainteresowanie społeczeństwa generowanymi przez nie problemami. Kontrolami innymi niż planowe zostały objęte organy administracji rządowej i samorządowej, uczelnie wyższe, stowarzyszenie, placówki medyczne i jeden z konsulatów RP.  Przeprowadzone kontrole wynikały również ze zgłoszonych naruszeń ochrony danych. Rok 2022 zakończył się przeprowadzeniem 8 postępowań kontrolnych, zapoczątkowanych w wyniku wspomnianego naruszenia.

Dodatkowo Prezes UODO w 2022 roku skontrolował 4 podmioty, a do kolejnych 24 skierował pisma w zakresie sprawdzenia prawidłowości powołania i funkcjonowania Inspektorów Ochrony Danych. Przedmiot zainteresowania stanowiły informacje o sposobie zapewnienia kontaktu z IOD, jego umiejscowieniu w strukturze administracyjnej, kompetencjach, zaangażowaniu w sprawy dotyczące ochrony danych osobowych oraz co najważniejsze, o zapewnieniu gwarancji niezależności i możliwości prawidłowego realizowania obowiązków.

Pozostała działalność UODO

Urząd Ochrony Danych Osobowych w 2022 roku zatwierdził pierwszy kodeks postępowania, o których mowa w art. 40 RODO. 14 grudnia 2022 roku przyjęto do stosowania „Kodeks postępowania dotyczący ochrony danych osobowych przetwarzanych w małych placówkach medycznych”. W roku sprawozdawczym UODO przyjął również wniosek o zatwierdzenie „Kodeksu postępowania i dobrych praktyk w zakresie ochrony danych osobowych w działaniach marketingu bezpośredniego”. Warunki formalne procedowania zostały spełnione i trwa ocena merytoryczna po stronie Urzędu.

Wprawdzie kompetencje Urzędu Ochrony Danych Osobowych wprost nie regulują udzielania odpowiedzi na pytania prawne, takie zapytania mimo wszystko wpływają do Urzędu. W 2022 roku łączna ilość pytań prawnych, które zostały skierowane do UODO, wyniosła 2058. Stanowią one w późniejszym czasie inspirację do tworzenia wystąpień, poradników czy komunikatów UODO. Bardzo często dotyczą one powtarzających się problemów Administratorów danych lub Inspektorów, którzy również zwracają się do UODO z problematycznymi kwestiami.

Podsumowanie

Powyżej zagregowane dane są tylko wycinkiem informacji o ilości i rodzaju zadań podejmowanych przez UODO. Stanowią jednakże ważny wskaźnik, który po głębszej analizie i dokładnej lekturze sprawozdania może przybliżyć nam ewentualne problemy i trendy w dziedzinie ochrony danych osobowych. Co prawda w raporcie nie znajdziemy informacji o średnim czasie prowadzenia spraw, natomiast zapoznanie się z informacjami o poziomie zatrudnienia i ilości wpływających do UODO zgłoszeń, przynajmniej nakreśli nam obraz sytuacji i skalę pracy, która musi być podjęta, aby zagwarantować osobom, których dane dotyczą, odpowiedni poziom ochrony ich praw.

Pobierz wpis w wersji pdf

Podobne wpisy:

Obowiązek informacyjny

Dopełnienie obowiązku informacyjnego to jedno z najistotniejszych zadań jakie musi realizować administrator względem osób, których dane będzie przetwarzać. To także prawdziwe utrapienie działów marketingowych, bo – jak mówią ich przedstawiciele – „tego tekstu jest tak dużo, że nikt nam nie kliknie”. Gorzej jak za brakiem klauzuli informacyjnej idzie brak wiedzy, że taki obowiązek w ogóle […]

Omówienie wytycznych AEPD dotyczących walidacji systemów kryptograficznych do ochrony przetwarzania danych osobowych

W dobie cyfrowej, gdzie dane osobowe stają się coraz bardziej cenne, ochrona tych danych jest kluczowa. W tym kontekście, Agencja Ochrony Danych w Hiszpanii (AEPD) opracowała szereg wytycznych dotyczących walidacji systemów kryptograficznych, które mają na celu ochronę przetwarzania danych osobowych. Te wytyczne są nie tylko odpowiedzią na rosnące zagrożenia dla prywatności, ale także próbą zdefiniowania standardów, które pomogą organizacjom w zabezpieczaniu danych, którymi zarządzają.

Aplikacje mobilne i webowe, a plan kontroli UODO

Niniejszy artykuł omawia plan kontroli sektorowych na rok 2023, przyjęty przez Urząd Ochrony Danych Osobowych (UODO) w Polsce. Należy zaznaczyć, że kontrola będzie obejmować różne podmioty, które przetwarzają dane osobowe w ramach określonych sektorów. W szczególności, plan kontroli dotyczy organów przetwarzających dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym (SIS/VIS), jak również podmiotów […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki