Roczne Sprawozdanie z działalności PUODO.

 

W dniu 26.08.2021 zostało opublikowane sprawozdanie z działalności Prezesa Urzędu Ochrony Danych Osobowych za rok 2020r. Prawie 300 – stronicowy dokument obejmuje w szczególności informacje dotyczące wydanych decyzji i rozpatrywanych skarg, kontroli prowadzonych przez PUODO, aktów prawnych, co do których PUODO wydał opinie, odpowiedzi na pytania zadawane przez administratorów i IOD, czy podsumowanie dotyczące zgłaszanych naruszeń ochrony danych osobowych, które wpływały do UODO w 2020 r.

 

PUODO relacjonuje, iż w skali roku wydał 1866 decyzji administracyjnych, podjął w sumie 6442 skarg, z czego 2519 skarg dotyczyło sektora prywatnego. UODO w trakcie roku dokonał analizy 7507 zgłoszeń naruszeń m.in. pod kątem wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, z czego większość, bo 4661 zostało zgłoszonych przez podmioty sektora prywatnego; około 155 zgłoszonych w międzynarodowym systemie informatycznym (IMI).

 

W kontekście zgłoszeń naruszeń PUODO wskazuje najczęstsze rodzaje naruszeń ochrony danych osobowych, którymi niezmiennie w porównaniu do poprzedniego roku pozostają te same, a mianowicie:

• wysłanie korespondencji zawierającej dane osobowe zarówno w formie tradycyjnej, jak i na elektroniczną skrzynkę pocztową e-mail do niewłaściwego
• ujawnienie danych niewłaściwej osobie
• nieuprawnione uzyskanie dostępu do informacji – najczęściej wskutek błędów programistycznych ujawniających się po wprowadzeniu aktualizacji danego oprogramowania, braku wewnętrznych testów bezpieczeństwa, które mogły wykazać podatność systemu, czy nieprawidłowego nadania uprawnień w systemach;
• korespondencja papierowa utracona przez operatora pocztowego lub otwarta przed zwróceniem do nadawcy;
• dokumentacja papierowa (zawierająca dane osobowe) zgubiona, skradziona lub pozostawiona w niezabezpieczonej lokalizacji;
• niezamierzona publikacja lub nieprawidłowa anonimizacja danych w dokumencie – najczęściej wskutek nieprawidłowej anonimizacji danych lub przeoczenia tego błędu przez pracowników udostępniających materiały w sieci;
• zgubienie lub kradzież nośnika danych / urządzenia umożliwiającego dostęp do danych
• złośliwe oprogramowanie ingerujące w poufność, integralność lub dostępność danych oraz nieuprawnione uzyskanie dostępu do informacji poprzez złamanie zabezpieczeń;
• ujawnienie danych związane ze zdalnym nauczaniem i pracą zdalną – naruszenia polegały na nieuprawnionym upublicznieniu wizerunku, udostępnieniu nagrań zawierających dane osobowe osobom nieuprawnionym.

 

Warto też zwrócić uwagę na tematykę skarg, którą UODO w sprawozdaniu omawia na konkretnych przykładach:

1. przetwarzanie i upublicznianie wizerunku osób fizycznych bez ich zgody;
2. udostępnienia danych osobowych na stronach internetowych bez wiedzy i ich zgody;
3. przetwarzanie danych osobowych przez administratora w celu innym niż cel, do którego dane te zostały pozyskane;
4. niedopełnienie obowiązku informacyjnego (art. 15 RODO) wobec osoby, której dane dotyczą – tzw. prawa dostępu do swoich danych.

 

Z pełną treścią sprawozdań PUODO można zapoznać się TUTAJ.

 

źródło:

strona internetowa PUODO  [https://uodo.gov.pl]

 

Jakie zasady należy stosować podczas używania technologii rozpoznawania twarzy, aby zapewnić zgodność m.in. z prawem ochrony danych osobowych?

Odpowiedź na to pytanie zawierają „Wytyczne dotyczące rozpoznawania twarzy”. 28 stycznia 2021 r.,  Komitet Konwencji nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych przyjął „Wytyczne dotyczące rozpoznawania twarzy”. Dokument dotyczy zastosowań technologii rozpoznawania twarzy, w tym technologii rozpoznawania twarzy na żywo. Wytyczne zawierają wiele wskazówek w odniesieniu do zasad, które powinny być przestrzegane i stosowane w celu zapewnienie nienaruszalności godności ludzkiej, praw człowieka i podstawowych wolności każdej osoby, w tym prawa do ochrony danych osobowych.

Urząd Ochrony Danych Osobowych udostępnił nieoficjalne tłumaczenie wytycznych na język polski TUTAJ.

 

źródło:

strona internetowa PUODO  [https://uodo.gov.pl]

 

Umowa powierzenia danych osobowych. Jakie rozwiązania są wystarczające w przypadku wykazu podprocesorów?

 

UODO na swoich stronie internetowej w stałej rubryce „Zadania IOD” odpowiada na najczęstsze pytania kierowane przez Inspektorów Ochrony Danych do Urzędu. Tym razem odniósł się do uregulowania zasad angażowania  podprocesorów, czyli podmiotów, którym podmioty przetwarzające powierzają dalej zdania w realizowanych usługach.

Zapytanie dotyczyło szczególnej sytuacji, gdy podmiot przetwarzający przewidział wobec  administratora jedynie ogólny dostęp do wykazu podmiotów podprzetwarzających np. na stronie www, który może być okresowo aktualizowany, bez wskazywania każdego nowego podmiotu przetwarzającego

 

UODO zacytował wprost rozwiązani rekomendowane przez EROD w Wytycznych nr 7/2020 w sprawie pojęcia administratora oraz podmiotu przetwarzającego.

 

EROD w przywołanych Wytycznych 7/2020 wskazała, że nie wystarczy, aby podmiot przetwarzający jedynie zapewnił administratorowi ogólny dostęp do wykazu podprocesorów, który może być okresowo aktualizowany, bez wskazywania każdego nowego podmiotu przetwarzającego. Innymi słowy, podmiot przetwarzający musi aktywnie informować administratora o wszelkich zmianach w wykazie (tj. o każdym nowym planowanym podpowierzeniu, pkt 128 Wytycznych 7/2020).

 

A zatem sposób, w jaki podmiot przetwarzający powiadomi administratora o dalszym podpowierzeniu powinien zapewniać mu realny wpływ na to, kto będzie „innym podmiotem przetwarzającym” i umożliwić administratorowi wyrażenie sprzeciwu zanim nastąpi podpowierzenie (art. 28 ust. 2 RODO). Procedura w tym zakresie powinna być uzgodniona przez strony umowy powierzenia i być objęta jej postanowieniami.

 

źródło:

strona internetowa PUODO  [https://uodo.gov.pl]