Na początek przedstawiamy krótkie zestawienie liczbowe dla porównania danych za rok 2018 i 2019, dla lepszego zobrazowania tego, co miało miejsce w „roku RODO” oraz w roku następującym, kiedy już wszyscy okrzepliśmy ze stosowaniem rozporządzenia. To, na co warto zwrócić uwagę, to duży wzrost zarówno liczby składanych skarg, jak i wydanych decyzji administracyjnych.

2018 r.

2019 r.

Liczba pracowników

235

246

Wydatki UODO

25 681 000 zł

31 390 000 zł

Skargi osób,
których dane dotyczą

5565

9304

Liczby
przeprowadzonych kontroli

72

98

Wydane decyzje administracyjne

527

1369

Kary pieniężne

0

8

Skargi do sądu na decyzje lub postanowienia wydane przez PUODO

77

89

Zgłoszone naruszenia

2446

6039

Skargi osób, których dane dotyczą

Choć skargi, które wpłynęły w 2019 r. dotyczyły przeróżnych aspektów przetwarzania danych, organ nadzorczy wskazuje na najczęściej poruszane w nich kwestie:

Pozyskiwanie, w związku z prowadzoną działalnością, danych osobowych bez podstawy prawnej, lub w zakresie szerszym, niż przewidziany przepisami prawa, m.in. dotyczące:

  • legalności przetwarzania danych osobowych dłużników w zbiorach danych dłużników, którzy nie wywiązali się ze zobowiązań wobec banku, gdyż aby było możliwe przetwarzanie danych takiej osoby na podstawie odpowiedniego przepisu prawa bankowego, konieczne jest poinformowanie jej o zamiarze przetwarzania dotyczących jej danych bez jej zgody, zaś banki zazwyczaj nie dysponują dowodem doręczenia osobie, której dane dotyczą, wskazywanej informacji, przedkładając w postępowaniu przed PUODO wydruki z wewnętrznych systemów mających wskazywać na okoliczność skierowania do osób ww. informacji, które to dowody nie są uznawane przez PUODO za wystarczające;
  • legalności przetwarzania przez banki danych osobowych niedoszłych klientów, także w systemie informacji kredytowej (w BIK), gdy w następstwie złożenia wniosku kredytowego nie doszło do zawarcia umowy z bankiem. Banki, pomimo kierowania do nich wniosków o usunięcie danych osobowych, uznawały, że nie ma podstaw do realizacji powyższego, gdyż wpisy były dokonywane za zgodą klientów. Z powyższym nie zgadzał się Prezes UODO, który nakazywał usunięcie danych osobowych niedoszłych kredytobiorców, bowiem ani banki, ani BIK, nie mają podstaw prawnych do przetwarzania powyższych danych w zakresie zapytań kredytowych oraz przetwarzania ich przez BIK po dokonaniu weryfikacji zdolności kredytowej;
  • pozyskiwania zbyt dużego zakresu danych osobowych, nieadekwatnego do potrzeb, często na zapas, w tym danych dotyczących zdrowia w przypadku ubezpieczycieli;
  • przetwarzania danych osobowych w celu wystawiania polis ubezpieczeniowych OC komunikacyjnej, jako kontynuacji po wygaśnięciu polisy i braku jej wypowiedzenia, oraz po zmianie własności pojazdu.

Przekazywanie danych firmom windykacyjnym i do BIK bez podstawy prawnej bądź w sposób nieprzejrzysty dla osób, których te dane dotyczą.

  • Dłużnicy najczęściej kwestionowali zasadność roszczenia, wskazywali na brak ich zgody na przetwarzanie danych osobowych przez wierzyciela oraz wyrażali żądanie usunięcia ich danych przetwarzanych, w ich opinii, bez podstawy prawnej. Kolejnym ważnym czynnikiem, który wpływał na ilość skarg w tej grupie było kwestionowanie przez dłużników legalności cesji wierzytelności bez ich zgody. W skargach powtarzało się także kwestionowanie legalności powierzenia osobom trzecim danych osobowych dłużników przez fundusze sekurytyzacyjne lub innych wierzycieli, w celu dochodzenia wierzytelności. Rozstrzygnięcia wydawane przez organ w zasadniczej większości przypadków sprowadzały się do odmowy uwzględnienia wniosków skarżących ze względu na istnienie podstawy do przetwarzania danych.

Przetwarzanie danych za pomocą monitoringu instalowanego w placówkach szkolnych, spółdzielniach mieszkaniowych, czy przez właścicieli domów jednorodzinnych.

  • skarżący głównie podnosili, że ich wizerunek był przetwarzany niezgodnie z prawem, ponieważ monitoring obejmował swoim zasięgiem sąsiednie nieruchomości oraz miejsca publiczne, np. drogę publiczną, chodnik, części wspólne budynków, itd. Skarżący nie wyrażali zgody na montaż monitoringu przez właścicieli sąsiednich nieruchomości, nie został wobec nich spełniony obowiązek informacyjny, nie zostało też zrealizowane uprawnienie w postaci prawa dostępu do nagrań.

Ujawnienie lub zagubienie danych osobowych przez m.in. Pocztę Polską i firmy kurierskie, w ramach prowadzonej przez te podmioty działalności.

  • Skargi obejmują w przeważającym zakresie problematykę ujawnienia danych osobowych zawartych na przesyłkach poprzez doręczenie ich osobom nieuprawnionym (w tym pozostawienie na portierni lub u ochrony osiedla, nie wrzucenie korespondencji do skrzynki).

Wykorzystywanie danych do celów marketingowych.

  • skargi dotyczyły zbyt szerokich zgód na przetwarzanie danych osobowych;
  • poważnym problemem było również to, że administratorzy, wykorzystując bazy danych osobowych dostarczone przez „brokerów informacji”, telefonując do osób, nie podają pełnych informacji o danych kontaktowych (o nazwie, adresie, siedzibie). Telemarketerzy nie udzielali jednoznacznych odpowiedzi lub nie odpowiadali na pytania, które wiązały się z procesami przetwarzania danych, obowiązkami informacyjnymi lub wręcz kończyli połączenie telefoniczne po poruszeniu tych kwestii. Często też administratorzy nie odnotowywali sprzeciwu wobec przetwarzania danych osobowych w celach marketingowych, lub też nie uwzględniali żądania usunięcia danych.

Udostępnianie danych osobowych osobom i podmiotom nieuprawnionym.

  • kwestionowanie przekazywania danych osobowych skarżących pomiędzy ubezpieczycielami a podmiotami z nimi współpracującymi, szczególnie z instytucjami służby zdrowia, podmiotami uczestniczącymi w ocenie i likwidacji szkód, pośrednikami,
  • w 2019 r. utrzymał się silny trend składania skarg na udostępnianie przez podmioty lecznicze danych osobowych dzieci oraz ich rodziców przez podmioty przeprowadzające szczepienia ochronne na rzecz organów inspekcji sanitarnej – przetwarzanie danych osobowych w celu egzekwowania wykonania obowiązku szczepień znajduje oparcie w powszechnie obowiązujących przepisach.

Brak realizacji obowiązków informacyjnych z art. 13 i 14 RODO.

  • niedopełnienie obowiązków informacyjnych w telemarketingu – w szczególności wtedy, kiedy dane nie były pozyskane od osoby, której dotyczą, tylko z innego źródła (źródłem baz danych osobowych używanych do celów telemarketingu często wyżej wskazani „brokerzy informacji”, którzy pozyskiwali dane osobowe korzystając z dostępnych publicznych źródeł);


Brak reakcji administratora na żądanie osoby, której dane dotyczą – najczęściej związanej z żądaniami wniesionymi na podstawie art. 15 (prawo dostępu), 16 (prawo do sprostowania), 17 (prawo do usunięcia) lub 21 (prawo do sprzeciwu) RODO.

  • warto zwrócić uwagę, że np. prawo do bycia zapomnianym nie mogło być respektowane w odniesieniu do wpisów dokonywanych w rejestrach państwowych czy zbiorach prowadzonych na podstawie przepisów prawa – z oceny skarg, które w 2019 r. wpłynęły do Urzędu wynika, że w większości przypadków żądania skarżących sprowadzają się do kwestionowania obowiązujących przepisów prawa;
  • najczęściej wskazywanym celem we wnioskach o udostępnienie danych osobowych (których brak realizacji kończył się skargą) była konieczność pozyskania danych osoby w celu wytoczenia powództwa przeciwko osobie, która naruszyła dobra osobiste wnioskującego. Zadaniem organu było ustalenie, czy administrator ustosunkował się do całego żądania strony i czy nie naruszył przepisów prawa. Dla organu nie była wystarczająca jedynie chęć wytoczenia powództwa do sądu powszechnego przeciwko osobie, której dane dotyczą;
  • PUODO otrzymywał również skargi dotyczące realizacji przez pracodawców żądań pracowników dotyczących prawa do uzyskania kopii danych osobowych, zawartych w prowadzonych przez pracodawców aktach osobowych;
  • skarżący mylą często wniosek o udostępnienie im kopii danych z obowiązkiem wydania im dokumentów, które zawierają ich dane osobowe;
  • pojawiły się liczne wnioski o udostępnienie nagrań z monitoringu wizyjnego prowadzonego w podmiotach takich jak, np. sklepy, centra handlowe, jak też wnioski o udostępnienie nagrań z infolinii w celu złożenia skutecznej reklamacji i udowodnienia okoliczności dotyczących, np. zakupu określonych produktów z wadami fabrycznymi, bądź też nienależytego wykonania polecenia, wydanego drogą telefoniczną przez posiadacza rachunku, przez pracownika banku w odniesieniu do konta bankowego klienta;
  • dużym zainteresowaniem cieszyło się „prawo do bycia zapomnianym” w zakresie postępowań windykacyjnych prowadzonych za pośrednictwem stron internetowych, jak i w odniesieniu do danych publikowanych w wyszukiwarce internetowej Google.


Przeprowadzone kontrole

Większość działań kontrolnych koncentrowało się na badaniu sposobów, w jaki administratorzy danych osobowych zapewniają zachowanie poufności danych oraz czy nie wykorzystują danych w innych celach, niż te, dla których zostały zebrane. Zakres przeprowadzonych kontroli obejmował m.in. następujące zagadnienia:

  • podstawę prawną przetwarzania danych osobowych; źródło pozyskania danych osobowych; zakres, cel i rodzaj przetwarzanych danych osobowych;
  • sposób dopełnienia obowiązków informacyjnych administratora danych;
  • sposób zapewnienia realizacji praw osób, których dane dotyczą;
  • sposób zbierania i udostępniania danych osobowych;
  • czy zostały wdrożone odpowiednie środki techniczne i organizacyjne, aby przetwarzanie danych osobowych odbywało się zgodnie z RODO oraz z uwzględnieniem charakteru, zakresu, kontekstu, celów przetwarzania i ryzyka naruszenia praw i wolności osób fizycznych, a także czy środki te są w razie potrzeby poddawane przeglądom i uaktualniane;
  • czy zostały wdrożone polityki ochrony danych;
  • czy wyznaczony został inspektor ochrony danych;
  • czy administrator danych powierza przetwarzanie danych podmiotom przetwarzającym, a jeśli tak, to czy powierzenie to nastąpiło przy spełnieniu warunków określonych w art. 28 RODO;
  • czy podjęte zostały działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora, która ma dostęp do danych osobowych, przetwarzała je na polecenie administratora;
  • czy została przeprowadzona ocena skutków dla ochrony danych w związku z wprowadzeniem systemu zdalnego odczytu wodomierzy;
  • czy dokumentowane są wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze;
  • czy prowadzony jest rejestr czynności przetwarzania danych osobowych, w którym zamieszczone są wszystkie informacje określone w art. 30 ust. 1 RODO;
  • kontrolę systemów informatycznych wykorzystywanych do przetwarzania danych osobowych.

W okresie od rozpoczęcia stosowania przepisów RODO, tj. od dnia 25.05.2018 r. do 31.12.2019 r. w podmiotach sektora prywatnego przeprowadzono 31 kontroli, z czego w samym 2019 kontrole odbyły się w 20 podmiotach. W przypadku 4 podmiotów w wyniku przeprowadzonych kontroli nie stwierdzono naruszenia przepisów o ochronie danych osobowych. W 14 sprawach postępowanie było w toku, przy czym w przypadku dwóch podmiotów wydane zostały decyzje, na które złożono skargi do sądu.

Wydane decyzje administracyjne, w tym kary pieniężne

Z wydanymi decyzjami można zapoznać się na stronie https://uodo.gov.pl/pl/p/decyzje, do czego gorąco zachęcamy. Decyzje publikowane są w porządku chronologicznym, dodatkowo jest możliwość ich filtrowania na podstawie poruszanych zagadnień czy też branży, której dotykają.

W roku 2019 w 8 przypadkach PUODO zdecydował o nałożeniu administracyjnej kary pieniężnej. Karą objęte zostały następujące podmioty: spółka prowadząca sprzedaż online, spółka przetwarzająca dane z rejestrów publicznych, wspólnota mieszkaniowa, spółka zajmująca się ochroną mienia i ludzi, stowarzyszenie sportowe, spółka zarządzająca nieruchomościami, burmistrz miasta oraz spółka prowadząca marketing w sieci.

Zawiadomienie o podejrzeniu popełnienia przestępstwa

W analizowanym 2019 r. PUODO skierował do organów powołanych do ścigania przestępstw 5 zawiadomień o podejrzeniu popełnienia przestępstwa przez osoby odpowiedzialne za przetwarzanie danych osobowych. Dwa z tych zawiadomień dotyczyły spraw związanych z nieuprawnionym przetwarzaniem danych osobowych przez administratora strony internetowej. Prezes UODO zawiadomił Prokuratora Generalnego o podejrzeniu popełnienia przestępstwa przez spółkę, która jako administrator kilkunastu stron internetowych żądała pieniędzy za usunięcie wpisów zawierających dane osobowe.

W innej sprawie PUODO zawiadomił o podejrzeniu popełnienia przestępstwa polegającego na udaremnieniu przez jeden z podmiotów przeprowadzenia czynności kontrolnych przez UODO. Inne zawiadomienie dotyczyło podejrzenia popełnienia przestępstwa określonego w art. 276 Kodeksu karnego, polegającego na niwelowaniu (niszczeniu, uszkadzaniu, czynieniu bezużytecznym, ukrywaniu lub usuwaniu) dokumentu, którym sprawca tego czynu nie ma prawa wyłącznie rozporządzać (likwidowana spółka porzuciła dokumentację).