Strefa wiedzy

Sprawozdanie z działalności Generalnego Inspektora Ochrony Danych Osobowych w roku 2015

08.08.2016

Na początku lipca br. Sejm RP przyjął sprawozdanie Generalnego Inspektora Ochrony Danych Osobowych z działalności w 2015 roku.

W ubiegłym roku GIODO przeprowadził łącznie 175 kontroli zgodności przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych. W 13. przypadkach wystąpił do administratorów bezpieczeństwa informacji o dokonanie sprawdzeń u administratorów danych, co umożliwiła Generalnemu Inspektorowi nowelizacja ustawy, która weszła w życie 1 stycznia 2015 roku. W porównaniu do lat ubiegłych liczba przeprowadzonych kontroli jest podobna. W ostatnich trzech latach GIODO przeprowadził rocznie od 165. do 175. kontroli.

Obszary działalności administratorów danych poddanych kontroli były bardzo zróżnicowane. Ponad 20% kontroli miało miejsce w szeroko pojętych jednostkach administracji publicznej, m.in. ministerstwach, jednostkach Policji, Straży Granicznej, wydziałach konsularnych przy ambasadach RP oraz Polskiej Wytwórni Papierów Wartościowych S.A. GIODO skontrolował również 11 podmiotów należących do sektora finansowego, 15 podmiotów z sektora służby zdrowia, a także 7 podmiotów świadczących usługi telekomunikacyjne.

Stopień spełnienia przez administratorów obowiązków formalnych był wysoki. 94% administratorów danych opracowało i wdrożyło dokumentację przetwarzania danych, a 97% prowadziło ewidencję osób upoważnionych do przetwarzania danych osobowych. Z drugiej strony często zapisy dokumentacji przetwarzania danych były nieaktualne, ewidencja osób upoważnionych do przetwarzania danych nie zawierała informacji o wszystkich osobach, które dane osobowe przetwarzały.

GIODO zwrócił jednak uwagę, iż wielu administratorów danych ma nadal problemy z prawidłowym spełnieniem innych podstawowych obowiązków wynikających z ustawy o ochronie danych osobowych. Najczęstsze uchybienia polegały na:

1. nierealizowaniu obowiązku informacyjnego w stosunku do osób, których dane osobowe są przetwarzane,

2. braku rejestracji zbioru danych, który z mocy ustawy temu podlegał,

3. zbieranie szerszego zakresu danych osobowych niż było to uzasadnione,

4. przetwarzanie danych osobowych po ustaniu podstawy prawnej,

5. nieprawidłowe formułowanie treści oświadczeń o wyrażeniu zgody na przetwarzanie danych osobowych.

Stwierdzone uchybienia były podstawą do skierowania przez GIODO do organów ścigania 24. zawiadomień o podejrzeniu popełnienia przestępstwa przez administratorów danych. W ostatnim roku sprawozdawczym liczba zawiadomień znacząco wzrosła w stosunku do lat 2011-2014, w których łączna liczba zawiadomień wyniosła 48. Do GIODO wpłynęło również 2256 skarg dotyczących naruszenia przepisów o ochronie danych osobowych. W porównaniu do roku 2014 liczba zgłoszeń zmalała, natomiast biorąc pod uwagę okres 2011-2015 liczba skarg stale rośnie o 200-300 wniosków rocznie.

W 2015 roku GIODO skontrolował 258 systemów informatycznych, wykorzystywanych przez administratorów danych w procesie przetwarzania danych osobowych i co warto podkreślić stopień spełnienia przez systemy informatyczne wymogów technicznych określonych w przepisach był bardzo wysoki i wyniósł blisko 100%.

Istotną częścią działalności GIODO jest prowadzenie ogólnokrajowego, jawnego rejestru zbiorów danych osobowych oraz administratorów bezpieczeństwa informacji. Nowelizacja ustawy o ochronie danych osobowych, która weszła w życie 1 stycznia 2015 roku umożliwiła administratorom danych zarejestrowanie powołanego administratora bezpieczeństwa informacji, zamiast konieczności rejestrowania poszczególnych zbiorów danych osobowych. Łącznie do GIODO wpłynęło w zeszłym roku 22869 przedmiotowych wniosków, co przełożyło się na zarejestrowanie 15531 administratorów bezpieczeństwa informacji. Dla porównania liczba zgłoszeń do rejestracji zbiorów danych wyniosła 31501.

Jak podaje GIODO wiele wniosków rejestracyjnych administratorów bezpieczeństwa informacji zawierało istotne błędy formalne tj. powołanie na administratora bezpieczeństwa informacji osoby będącej kierownikiem jednostki organizacyjnej (np. właściciela firmy lub członka zarządu spółki), zgłoszenie powołania więcej niż jednego administratora bezpieczeństwa informacji (jest to niedopuszczalne na gruncie ustawy) oraz zgłoszenie powołania zastępcy administratora bezpieczeństwa informacji (ustawa nie przewiduje rejestracji zastępców ABI). Ponad 1/3 wszystkich wniosków zawierała powyższe lub inne błędy, również bardzo proste, wynikające z nieumiejętnego wypełnienia wniosku. Zdarzyły się również przypadki, w których administratorzy danych zgłaszali wniosek pomijając ustawowy, obowiązkowy i przeznaczony do tego celu formularz.

Na uwagę zasługuje stwierdzenie GIODO, iż w porównaniu do lat ubiegłych administratorzy danych wykazali większą świadomość przepisów i zagrożeń dotyczących ochrony danych osobowych oraz konieczności stosowania odpowiednich środków organizacyjnych i technicznych w celu ochrony przetwarzanych danych osobowych.

Autor: Michał Rogoziński

Opłacalność taryf no-limit

Coraz większa popularność taryf ryczałtowych typu „no-limit” na rynku detalicznym sprawia, że również firmy oraz instytucje sektora publicznego decydują się…

25.09.2017

Zobacz więcej

Spadki sprzedaży usług telekomunikacyjnych w sektorze administracji publicznej i samorządowej

W 2016 r. jednostki objęte ustawą Prawo zamówień publicznych[1] (dalej „Pzp”) zaraportowały w serwisach BZP[2] i TED[3] zawarcie umów o łącznej…

Zobacz więcej

Rynek data center – podsumowanie 2016 r. i prognozy na najbliższe 5 lat

Wydarzenia na polskim rynku datacenter w 2016 r. potwierdziły wiarę dostawców w dobre perspektywy rynkowe w nadchodzących latach. W infrastrukturę…

17.08.2017

Zobacz więcej

Zbieranie danych do audytu energetycznego

Rozpoczęcie prac audytowych wymaga umiejętnego zebrania danych, które będziemy poddawać analizie. Ustawa o efektywności energetycznej opisuje w sposób ogólny to,…

17.05.2017

Zobacz więcej

Formy poprawy efektywności energetycznej wspierane przez Państwo

Podjęcie działań na rzecz wzrostu efektywności energetycznej wymaga podjęcia wysiłku i często znaczących nakładów finansowych. Celem zwiększenia motywacji do realizacji…

13.04.2017

Zobacz więcej

Nowa ustawa o ochronie danych osobowych – przegląd opublikowanego projektu

Już niewiele ponad rok dzieli nas od rozpoczęcia stosowania przepisów Ogólnego Rozporządzenia UE o Ochronie Danych Osobowych, w skrócie zwanego…

Zobacz więcej

Jak spełnić wymogi Ustawy o efektywności energetycznej?

Najważniejszym założeniem Ustawy o efektywności energetycznej (nowelizacja przyjęta przez Sejm 20.05.2016) jest wprowadzenie obowiązkowych działań na rzecz poprawy efektywności energetycznej…

21.03.2017

Zobacz więcej

Wsparcie w zarządzaniu zamówieniami (cz. III)

W drugiej części artykułu omówiono podstawowe warunki, jakie muszą zostać spełnione w firmie dla skutecznego zarządzania zapasami. Zwrócono uwagę na…

Zobacz więcej

Jak skutecznie wdrożyć panel menedżera?

W naszej praktyce biznesowej obserwujemy wzrost zapotrzebowania menedżerów na szybki dostęp do informacji ukierunkowanej na wsparcie konkretnej decyzji zarządczej. Rośnie…

22.02.2017

Zobacz więcej

Inspektor Ochrony Danych – czy będzie to nowa rola?

W grudniu 2016 roku Grupa Robocza art. 29, opublikowała swoje wytyczne do unijnego rozporządzenia GDPR (RODO). Jednym z tematów wytycznych…

Zobacz więcej
icon

Newsletter

icon

Zapisz się do newslettera i otrzymuj bezpłatnie artykuły naszych ekspertów.