Raport Specjalny | Forum Bezpieczeństwa Banków | Trzy lata z RODO

Przepisy RODO zostały przyjęte przez Parlament Europejski 27 kwietnia 2016 r., a obowiązek ich stosowania w państwach członkowskich wyznaczono na 25 maja 2018 r., a więc po dwuletnim okresie przejściowym. Choć rozporządzenia unijne co do zasady stosowane są wprost, bez konieczności implementacji, przyjęcie RODO wymuszało pewne zmiany w ustawodawstwach krajów członkowskich. Jednym z efektów wdrożenia rozporządzenia w Polsce była likwidacja urzędu Generalnego Inspektora Ochrony Danych Osobowych (GIODO), którego rolę przejął prezes nowo powstałego Urzędu Ochrony Danych Osobowych (UODO).

Konsekwencją stosowania ogólnego rozporządzenia o ochronie danych jest zauważalny wzrost dbałości administratorów o zasoby informacji – na co wskazują analizy prowadzone w ostatnich latach przez UODO. Niemniej poziom ich bezpieczeństwa w poszczególnych podmiotach jest zróżnicowany. Zdecydowanie lepiej radzą sobie ci administratorzy, którzy dochowywali należytych starań w tym zakresie jeszcze przed wejściem w życie nowych przepisów, jednak nawet i w ich przypadku nie można wykluczyć sytuacji problematycznych. Dotyczą one chociażby nadawania upoważnień, na co zwrócił uwagę Adam Sanocki, rzecznik prasowy UODO. Również kwestia udostępniania danych rodzi po stronie ich administratorów wiele pytań. Chodzi głównie o ocenę dopuszczalności udostępnienia informacji, gdy jakiś podmiot zwraca się do nich z wnioskiem o ich udostępnienie. Nie zawsze w takich wnioskach jest wskazana prawidłowa podstawa do pozyskania od administratora określonych danych.

Problemy administratorów danych

Według danych UODO, administratorzy wciąż mają problemy z właściwym przeprowadzeniem analizy ryzyka i oceny skutków. W tym drugim przypadku nie zostały bowiem opisane działania naprawcze, a także nie dokonano oceny ryzyka dla poszczególnych zagrożeń czy procesów przetwarzania. Skutkiem braku analizy ryzyka było przede wszystkim niewdrożenie przez administratorów adekwatnych środków organizacyjnych i technicznych, zapewniających przetwarzanie danych osobowych zgodnie z RODO. Dlatego powinni większą uwagę przykładać do regularnych testów stosowanych przez nich środków technicznych i organizacyjnych.

Administratorzy nie zawsze korzystają z doświadczenia inspektorów ochrony danych (IOD), którzy znając specyfikę konkretnego administratora oraz dysponując odpowiednią wiedzą, mogą wskazywać adekwatne dla danego podmiotu rozwiązania. Nawet pomimo staranności w ochronie danych osobowych zdarza się, iż administratorzy dopuszczają się naruszeń. Warto, aby zwrócili uwagę choćby na to, by korespondencja elektroniczna, w której przesyłane są dane osobowe, była szyfrowana. Również przy wysyłce pism pocztą powinni zadbać o weryfikację adresu na kopercie, by zgadzał się z tym, jaki widnieje w dokumentacji, która ma być wysłana.
Jak to jest w praktyce?

Spośród 7507 zgłoszeń naruszeń w 2020 r. 4661 dokonały podmioty sektora prywatnego, 2691 podmioty sektora publicznego, zaś około 155 zgłoszonych zostało w międzynarodowym systemie informatycznym (IMI). W przypadku sektora prywatnego najwięcej napłynęło ich od podmiotów telekomunikacyjnych – 2104, ubezpieczeniowych – 792, banków i instytucji finansowych – 472 oraz służby zdrowia – 272. W przypadku sektora publicznego zawiadomienia o incydentach z danymi osobowymi najczęściej nadsyłały jednostki samorządu terytorialnego – 382, służby mundurowe – 163 oraz administracja rządowa – 133.