Mijają 4 lata odkąd 25 maja 2018 roku rozpoczęliśmy stosowanie przepisów RODO. Przy tej okazji warto zastanowić się jak wygląda ochrona i przetwarzanie danych osobowych po czwartym roku stosowania regulacji z zakresu RODO. W tym celu posłużymy się m.in. statystykami krajowego organu nadzorczego. Sprawozdania roczne Prezesa UODO publikowane są do 31 sierpnia danego roku, toteż dla celów porównania skupimy się na danych z lat 2018 – 2020.

Skargi do UODO

Jedną z głównych przyczyn inicjujących postępowania UODO są skargi osób fizycznych dotyczące niewłaściwego przetwarzania należących do nich danych osobowych. Poniższa tabela przedstawia jak wyglądała liczba skarg wpływających w rozpatrywanym czasie do UODO..

 

Liczba skarg Lata
5565 2018
9304 2019
6442 2020

 

Jak widać w tabeli największa liczba skarg dotyczy roku 2019. Wydaje się, że taki wynik jest efektem faktycznego i zarazem opóźnionego rozpoczęcia stosowania przepisów RODO w roku 2019, a także opóźnionego procesu powstawania ustawodawstwa krajowego, a finalnie także „mody na RODO” w pierwszym roku jego stosowania. Wydaje się, że liczba 6442 skarg w roku 2020 nadal jest wysoką wartością, która z całą pewnością jest rezultatem zwiększenia świadomości społeczeństwa w kwestiach dotyczących ochrony danych osobowych. Czy tendencja ta nadal będzie wzrostowa, przekonamy się po publikacjach kolejnych sprawozdań rocznych Prezesa UODO.

Zagłębiając się dalej w kwestie skarg warto zwrócić uwagę, że dotyczą one przede wszystkim pozyskiwania danych osobowych bez podstawy prawnej, jak i nieuzasadnionego udostępniania danych osobowych dalszym odbiorcom. Oznacza to, że administratorzy w dalszym ciągu mają problem z legalizacją części procesów przetwarzania. Przykładem takiego działania z całą pewnością jest marketing realizowany drogą elektroniczną bez zabezpieczenia podstawy prawnej – tj. np. niechciane newslettery i telemarketing, który w ostatnich latach został zdominowany przez Robocalls wykorzystywany przez podmioty zarejestrowane za naszą wschodnią granicą na zlecenie klientów z Polski.

A jak wygląda liczba skarg w podziale na sektory rynku? UODO wprowadziło podział na: sektor publiczny, prywatny, sektor łączny dla zdrowia, zatrudnienia i oświaty oraz odrębny sektor dla finansów, ubezpieczeń i telekomunikacji. W przypadku roku 2020 największa liczba skarg dotyczyła sektora prywatnego – 2519. Na drugim miejscu uplasował się sektor finansowy, ubezpieczeń i telekomunikacji. Oznacza to, że jednak sektory silniej regulowane przykładają większą wagę do kwestii RODO.

Liczba skarg Sektor
1303 Skargi na podmioty sektora publicznego
2519 Skargi na podmioty sektora prywatnego
926 Skargi na podmioty sektora zdrowia, zatrudnienia i szkolnictwa
1694 Skargi na podmioty sektora finansowego, ubezpieczeń i telekomunikacji
Masz pytanie lub wątpliwość?

Nasz ekspert Kacper Rączkowiak jest do Twojej dyspozycji.

Postępowanie Prezesa UODO – administracyjne kary pieniężne

Nie każde postępowanie realizowane przez Prezesa UODO jest zakończone administracyjną karą pieniężną. Spory odsetek stanowią postępowania zakończone upomnieniem lub umorzeniem. Jednakże administracyjne kary pieniężne w kontekście RODO były i będą tematem gorącym, ponieważ to ta cecha odróżnia RODO od poprzedniego porządku prawnego. Przypomnijmy, że GIODO (tj. poprzednik Prezesa UODO), nie posiadał tak rozbudowanych możliwości dyscyplinowania administratorów danych osobowych.

Wg danych opublikowanych przez UODO, rok 2019 skutkował nałożeniem 8 administracyjnych kar pieniężnych, z czego najwyższa opiewała na kwotę 2 830 410 zł. W sprawozdaniu za rok 2020 kar takich było już  21, co oznacza silną tendencję wzrostową. Najwyższe kary nałożone przez Prezesa UODO w roku 2020, to kwoty powyżej miliona złotych – dla:

  • Virgin Mobile Polska sp. z o.o. – kwota 1 968 524,00 zł,
  • ID Finance Poland sp. z o.o. – kwota 1 069 850,00 zł.

Z kolei najniższe kary finansowe nakładane w roku 2020 oscylowały w przedziale od 5000 do 20 000 złotych i dotyczyły mniejszych przedsiębiorców lub sektora publicznego.

Część z podanych wyżej kwot, jak i kwot figurujących w sprawozdaniach, jest przedmiotem skarg i związanych z tym postępowań odwoławczych, a zatem ich finalny wymiar może ulec zmianie.

„Inne liczby” publikowane przez UODO po 4 latach stosowania RODO

Dane prezentowane przez Prezesa UODO, to nie tylko liczby, które należy postrzegać negatywnie. Zwłaszcza, że RODO to przede wszystkim wzrost świadomości dotyczącej ochrony danych osobowych. W roku 2019 do UODO skierowano 2812 pism zawierających pytania na temat przetwarzania danych osobowych, a w roku 2020 takich pytań było 2774. Nadto, w roku 2020 do UODO skierowano także 338 pytań od zarejestrowanych inspektorów ochrony danych osobowych. Co ważne, wg danych UODO, większość pytań za rok 2020 dotyczyła problematyki COVID-19 oraz pracy i nauczania zdalnego. Taka „sezonowość” pytań oznaczałaby, że liczba pytań „ogólnych” odnoszących się do RODO i wykładni RODO maleje. Być może jest to dowód zwiększenia świadomości administratorów danych osobowych, tj. przedsiębiorców i pracodawców. Jednakże liczba ta nadal pozostaje wysoka i być może powinien być to czynnik motywujący organ krajowy do wznowienia organizacji szkoleń dla inspektorów ochrony danych, czy zwiększenia innej działalności dydaktycznej, jaką w przeszłości była publikacja szeregu poradników.

Z całą pewnością RODO było dużym wyzwaniem dla przedsiębiorców sektora prywatnego, którzy musieli dostosować swój biznes do nowych norm prawnych i zmienić swoje podejście zarówno względem pracowników, jak i klientów końcowych i kontrahentów. Wiązało się to ze sporym kosztem, nakładem czasu i stresem. Jednakże RODO, to nie tylko obowiązki, ale także korzyści.

Korzyści płynące z RODO po 4 latach jego stosowania

Na plus należy oceniać na przykład zwiększenie ochrony prywatności pracowników. Uregulowanie zagadnień dotyczących monitoringu wizyjnego, informatycznego czy monitoringu GPS przez krajowego ustawodawcę, jest niewątpliwym efektem dodatnim dla pracowników. Monitoring to wieloletnia czarna dziura polskiego prawa, którą zlikwidowało RODO i krajowe akty prawne powstałe w celu wdrożenia RODO.

RODO to także zwiększenie kultury organizacyjnej przedsiębiorstw. W przypadku pracowników oznacza to większą ochronę ich danych dotyczących stanu zdrowia, wynagrodzenia, czy zmniejszenie przypadków różnego rodzaju dyskryminacji. Po czterech latach śmiało można stwierdzić, że poufność danych pracowników wzrosła.

Zwróćmy uwagę także na to, że dla pracodawcy każda wyeliminowana sytuacja związana m.in. z ujawnieniem danych, to również korzyść, skutkująca np. uniknięciem straty wizerunkowej czy ochroną tajemnicy przedsiębiorstwa. Wzrost kultury organizacyjnej skutkuje także tym, że firmy coraz bardziej boją się zlecać realizację kontrowersyjnych działań marketingowych (np. Robocalls). Obecnie te najbardziej niechciane formy przetwarzania danych osobowych, choć nadal liczne, są już realizowane niemal wyłącznie przez podmioty niewiarygodne i nieposiadające jakiejkolwiek renomy, bądź pozycji rynkowej.

Pozytywne skutki RODO, oprócz ogólnego zwiększenia ochrony danych osobowych, to także zwiększenie nadzoru nad dalszym udostępnianiem danych osobowych, jak i ograniczanie niechcianych działań polegających na profilowaniu osób fizycznych.

Skorzystaj z naszych usług w zakresie: Ochrona danych osobowych (RODO)
Dowiedz się więcej

„RODO wpadki” w Polsce i UE

Mniejsze lub większe „RODO wpadki” z poziomu krajowego, jakie dało się zaobserwować po wspomnianych już czterech latach, to na przykład dalszy brak zaakceptowanych kodeksów postępowań. W końcu ubiegłego roku głośno było także o dwóch uzasadnieniach wyroków WSA, tj. II SA/Wa 1340/20 oraz II SA/Wa 607/20, w których zakwestionowano wyznaczanie okresu przetwarzania danych osobowych w oparciu o okresy ochrony roszczeń. W tekstach przytaczanych orzeczeń wyraźnie wskazuje się, że dalsze przetwarzanie danych osobowych, np. mające miejsce po realizacji umowy, „na zapas”, „na wypadek roszczeń”, czy „dla celów ochrony przed ewentualnym roszczeniem” itp., jest niedopuszczalne. Próżno jednak szukać jakichkolwiek wskazań, czym ten popularny i mający logiczne uzasadnienie okres przetwarzania zastąpić.

Na szczeblu unijnym w dalszym ciągu nie doczekaliśmy się finalizacji prac nad tzw. RODO 2.0, czyli Eprivacy. Ciężko ocenić także zmiany w obrębie transferu danych osobowych do tzw. krajów trzecich (tj. np. przekazania danych osobowych do USA w związku z korzystaniem z usług informatycznych). Niektóre z tych zmian można odbierać pozytywnie – np. zmiana tzw. standardowych klauzul umownych i rozszerzenie ich o klauzule do podpowierzenia danych. Finalnie jednak zmiany skomplikowały proces współpracy z podmiotami mającymi siedzibę poza Europejskim Obszarem Gospodarczym. Efektem tych działań jest scedowanie na przedsiębiorców oceny transferu poza Europejski Obszar Gospodarczy oraz przerzucenie na nich  decyzji co do ewentualnego wdrożenia tzw. środków uzupełniających. W efekcie ochrona ta jest jeszcze bardziej iluzoryczna, a przedsiębiorcy, by nie paraliżować swojego biznesu, muszą akceptować ryzyko braku zgodności w tym zakresie. Wymiana danych osobowych np. z przedsiębiorstwami z Chin, USA, czy też Rosji, nie jest dziś niczym niezwykłym, a oczekiwanie od firm prywatnych gwarancji uniemożliwienia dostępu do danych tamtejszym służbom państwowym jest dyskusyjne.

Jak widać RODO, to zarówno plusy, jak i minusy. Przed nami kolejny rok z RODO i związanymi z tym wyzwaniami. Jeżeli zamierzasz wesprzeć swój biznes i uporządkować ochronę danych osobowych w swoim przedsiębiorstwie skorzystaj z usług Grant Thornton: RODO wdrożenia, audytu oraz outsourcingu funkcji IOD.

AUTOR: Kacper Rączkowiak

Porozmawiajmy o Twoich wyzwaniach

Świadczymy usługi w zakresie Ochrona danych osobowych (RODO)

Skontaktujemy się z Tobą w najbliższym dniu roboczym aby porozmawiać o Twoich potrzebach i dopasować do nich naszą ofertę.

Poproś o kontakt

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.