iSecure logo
Blog

Sprawozdanie z działalności Prezesa UODO w liczbach

Jak co roku, Prezes Urzędu Ochrony Danych Osobowych opublikował sprawozdanie ze swojej działalności. Na ponad 308 stronach znajdziemy rozległe informacje o realizacji ustawowych zadań związanych z kontrolą przestrzegania przepisów o ochronie danych osobowych, przyjmowaniem zgłoszeń, naruszeń i rozpatrywaniem skarg, opiniowaniem aktów prawnych, uczestnictwem w pracach międzynarodowych czy działalności edukacyjno-informacyjnej. To szczególnie istotny raport, który pozwala na ocenę efektywności i skuteczności działania Urzędu w dziedzinie ochrony danych osobowych. Odnajdziemy tam oprócz danych statystycznych, analizę trendów oraz kluczowe wnioski dotyczące poziomu ochrony danych osobowych w Polsce. Przedstawione zostały również główne wyzwania i problemy, które spotykają Administratorów danych, również z nawiązaniem do wymierzonych przez UODO kar.

Wszystkich chętnych, którzy chcieliby zapoznać się ze szczegółowym opisem ubiegłego roku, odsyłam bezpośrednio do sprawozdania, służącego w niniejszym artykule za źródło danych. Można je odnaleźć na stronie internetowej UODO:  https://uodo.gov.pl/pl/487/2279.

Struktura organizacyjna i zatrudnienie

Łączny stan zatrudnienia w Urzędzie, w 2022 roku wynosił na początku 2022 roku – 252 osoby, a na koniec roku – 243 osoby. Powyższe cyfry nie zawierają Prezesa UODO ani jego Zastępcy. Dwa departamenty, będące jednymi z najważniejszych merytorycznie (i co za tym idzie, największych kadrowo), na koniec 2022 roku zatrudniały odpowiednio:

Departament Kontroli i Naruszeń – 43 osoby, w tym:

  • Wydział Kontroli – 12 osób,
  • Wydział Naruszeń – 25 osób.

Departament Skarg – 78 osób, w tym:

  • Wydział ds. Sektora Publicznego – 11 osób,
  • Wydział ds. Sektora Prywatnego – 20 osób,
  • Wydział ds. Sektora Zdrowia, Zatrudnienia i Szkolnictwa – 17 osób,
  • Wydział ds. Sektora Finansowego, Ubezpieczeń i Telekomunikacji – 18 osób.

Skargi

Zgodnie z art. 77 RODO, każda osoba, która uważa, iż przetwarzanie jej danych osobowych narusza przepisy RODO, może wnieść skargę do organu nadzorczego. Tylko w 2022 roku do Prezesa UODO wpłynęło 6995 takich skarg. Dla porównania, w 2021 roku było ich aż 8318. Każda pojedyncza skarga jest analizowana pod kątem spełniania wymogów formalnych, a następnie prowadzone są działania zmierzające do merytorycznego rozstrzygnięcia sprawy i ostatecznego poinformowania o efektach rozpatrywania skargi. Jak wskazuje UODO, wpływające skargi najczęściej nie zawierały określenia żądania, z którym zwracał się skarżący lub nie były kierowane bezpośrednio przez osobę, której dane dotyczą (a dotyczyły praw osób trzecich). Ponadto, niektóre ze skarg wybiegały w przyszłość, wskazując na operacje przetwarzania, które nie miały miejsca w momencie składania skargi. Grupując skargi na ilość spraw, które przypadły poszczególnym Wydziałom w Departamencie Skarg, ich ilość wygląda jak poniżej:

  • Wydział ds. Sektora Publicznego – 1199 skarg,
  • Wydział ds. Sektora Prywatnego – 2290 skarg,
  • Wydział ds. Sektora Zdrowia, Zatrudnienia i Szkolnictwa – 1346 skarg,
  • Wydział ds. Sektora Finansowego, Ubezpieczeń i Telekomunikacji – 1466 skarg.

Dodatkowo wpłynęło 475 skarg na podmioty z sektora transgranicznego. Przez cały 2022 rok zakończono prowadzone postępowania w 6479 sprawach, dotyczą one również spraw zaczętych w ubiegłych latach.

W odniesieniu do skarg jednak tym razem na działanie Urzędu Ochrony Danych Osobowych: w 2022 r. do Urzędu wpłynęło 28 takich skarg. Najczęściej ich zarzuty dotyczyły bezczynności lub przewlekłego załatwiania spraw przez UODO.

Naruszenia

Jednym z podstawowych obowiązków Administratorów danych jest zgłaszanie naruszeń ochrony danych osobowych. Jest to narzędzie, które ma za zadanie przyczynić się do realnej poprawy bezpieczeństwa danych osobowych. W 2022 roku z takiej możliwości, jak się wszyscy domyślają, korzystano wielokrotnie. Do Urzędu wpłynęło łącznie 12 722 zgłoszeń naruszeń. Jest to niewiele mniejsza liczba niż w roku 2021, gdzie licznik zatrzymał się na 12 946 zgłoszeniach. Jak wskazuje Urząd, zarówno ilość zgłaszanych naruszeń, jak i ich najczęstsze rodzaje, pozostały bardzo podobne. 637 ze zgłoszonych naruszeń spotkało się z odpowiedzią Urzędu w postaci pisemnego wezwania do złożenia wyjaśnień lub informacji. Rok 2022 obfitował w nałożenie administracyjnych kar pieniężnych łącznie na 20 podmiotów, a łączna kwota opiewała na 7 850 861 zł. Dokładnie połowa (10) z wymierzonych kar, na łączną kwotę 158 184 zł nie została zaskarżona przez strony do sądu administracyjnego i ostatecznie stały się prawomocne. 9 kar zostało zaskarżonych do WSA, do momentu publikacji sprawozdania: 2 skargi zostały oddalone, 2 kary zostały uchylone przez Sąd (sprawy będą kontynuowane przed NSA), a pozostałe 5 postępowań jest nadal w toku.

Kontrole przestrzegania przepisów o ochronie danych osobowych

W myśl art. 78 Ustawy o ochronie danych osobowych, Prezes UODO przeprowadza kontrolę przestrzegania przepisów o ochronie danych osobowych. Mogą to być kontrole planowe lub przeprowadzane w ramach monitorowania przestrzegania przepisów RODO. Rok 2022 Prezes UODO zakończył przeprowadzeniem wyżej wspomnianych kontroli w 40 podmiotach. Kontrole planowe, przeprowadzone zgodnie z planem kontroli sektorowych UODO objęły swoim zasięgiem podmioty z sektora bankowego, przetwarzające dane osobowe w Systemach SIS oraz WSI, jak również podmioty, które przetwarzają dane osobowe przy użyciu mobilnych aplikacji. Organ nadzorczy wytypował wymienione 3 grupy podmiotów jako istotne, z uwagi na liczne pytania, skargi i zgłoszenia naruszeń ochrony danych, które wskazują na duże zainteresowanie społeczeństwa generowanymi przez nie problemami. Kontrolami innymi niż planowe zostały objęte organy administracji rządowej i samorządowej, uczelnie wyższe, stowarzyszenie, placówki medyczne i jeden z konsulatów RP.  Przeprowadzone kontrole wynikały również ze zgłoszonych naruszeń ochrony danych. Rok 2022 zakończył się przeprowadzeniem 8 postępowań kontrolnych, zapoczątkowanych w wyniku wspomnianego naruszenia.

Dodatkowo Prezes UODO w 2022 roku skontrolował 4 podmioty, a do kolejnych 24 skierował pisma w zakresie sprawdzenia prawidłowości powołania i funkcjonowania Inspektorów Ochrony Danych. Przedmiot zainteresowania stanowiły informacje o sposobie zapewnienia kontaktu z IOD, jego umiejscowieniu w strukturze administracyjnej, kompetencjach, zaangażowaniu w sprawy dotyczące ochrony danych osobowych oraz co najważniejsze, o zapewnieniu gwarancji niezależności i możliwości prawidłowego realizowania obowiązków.

Pozostała działalność UODO

Urząd Ochrony Danych Osobowych w 2022 roku zatwierdził pierwszy kodeks postępowania, o których mowa w art. 40 RODO. 14 grudnia 2022 roku przyjęto do stosowania „Kodeks postępowania dotyczący ochrony danych osobowych przetwarzanych w małych placówkach medycznych”. W roku sprawozdawczym UODO przyjął również wniosek o zatwierdzenie „Kodeksu postępowania i dobrych praktyk w zakresie ochrony danych osobowych w działaniach marketingu bezpośredniego”. Warunki formalne procedowania zostały spełnione i trwa ocena merytoryczna po stronie Urzędu.

Wprawdzie kompetencje Urzędu Ochrony Danych Osobowych wprost nie regulują udzielania odpowiedzi na pytania prawne, takie zapytania mimo wszystko wpływają do Urzędu. W 2022 roku łączna ilość pytań prawnych, które zostały skierowane do UODO, wyniosła 2058. Stanowią one w późniejszym czasie inspirację do tworzenia wystąpień, poradników czy komunikatów UODO. Bardzo często dotyczą one powtarzających się problemów Administratorów danych lub Inspektorów, którzy również zwracają się do UODO z problematycznymi kwestiami.

Podsumowanie

Powyżej zagregowane dane są tylko wycinkiem informacji o ilości i rodzaju zadań podejmowanych przez UODO. Stanowią jednakże ważny wskaźnik, który po głębszej analizie i dokładnej lekturze sprawozdania może przybliżyć nam ewentualne problemy i trendy w dziedzinie ochrony danych osobowych. Co prawda w raporcie nie znajdziemy informacji o średnim czasie prowadzenia spraw, natomiast zapoznanie się z informacjami o poziomie zatrudnienia i ilości wpływających do UODO zgłoszeń, przynajmniej nakreśli nam obraz sytuacji i skalę pracy, która musi być podjęta, aby zagwarantować osobom, których dane dotyczą, odpowiedni poziom ochrony ich praw.

Pobierz wpis w wersji pdf

Podobne wpisy:

Ocena naruszenia przy błędnie wysłanym PIT – case study

Czas wysyłania PIT-11 do pracowników to szczególnie gorący okres dla inspektorów ochrony danych. Przesyłek jest mnóstwo, nic zatem dziwnego, że niektóre z nich trafiają do niewłaściwych osób. A to potencjalnie oznacza naruszenie ochrony danych osobowych, które należy przeanalizować pod kątem naruszenia praw i wolności osoby, która została takim incydentem objęta. Z pomocą przychodzi nam na […]

Współpraca z procesorem w praktyce – kilka ważnych kwestii

W dzisiejszym artykule nie będziemy skupiać się na samym pojęciu procesora oraz kwestiach związanych z trudnościami w ustaleniu, czy dany podmiot jest procesorem, czy też nie. Skupimy się natomiast na opisaniu etapów, jakie wiążą się ze współpracą z procesorami oraz przydatnej w tej współpracy dokumentacji. Wybieramy procesora (podmiot przetwarzający) Zgodnie z RODO powierzając dane osobowe […]

Jak przetwarzać dane - poradnik (cz. III)

Jak przetwarzać dane – poradnik (cz. III)

W ostatnich dwóch poradnikach z cyklu „Jak przetwarzać dane” przedstawiliśmy i krótko opisaliśmy Wam dwie z pięciu przesłanek, umożliwiających przetwarzanie danych tzw. „zwykłych” zgodnie z ustawą o ochronie danych osobowych. Jak się zapewne domyślacie, w tej części poradnika przedstawimy Wam kolejną, trzecią już, przesłankę legalizującą przetwarzanie danych (w praktyce ustawodawca w art. 23 ust. 1 pkt. 3 określił na dobrą sprawę dwie sytuacje legalizujące przetwarzanie danych).

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki