Zarówno polscy przedsiębiorcy jak i jednostki z sektora publicznego zdążyły już przyzwyczaić się do panującego porządku prawnego, w związku z czym znacznie lepiej poruszają się w towarzyszących nam od pewnego czasu realiach ochrony danych osobowych. Jako Inspektorzy Ochrony Danych coraz częściej spotykamy się z rosnącym gronem administratorów zabezpieczających nasze dane osobowe nie tylko ze względu na grożące im wysokie kary, ale także z powodu świadomości zagrożeń, na które mogą narazić swoich klientów w związku z ewentualnymi wyciekami. Pomimo rosnącej jakości bezpieczeństwa przetwarzania informacji, Prezes Urzędu Ochrony Danych ostatnimi czasy zwraca uwagę na pewien poważny i jak dobitnie podkreśla, także powszechny problem. Szkopuł tkwi we współpracy z Urzędem Ochrony Danych Osobowych – a tak właściwie, to jej brakiem.

Śledząc uważnie najświeższe decyzje związane z RODO można wysnuć tezę, że organy administracyjne wypowiedziały wojnę administratorom, którym mówiąc kolokwialnie kooperacja z UODO jest nie po drodze. W związku z powyższym nasuwa się pytanie, z jakiego powodu Prezes UODO wziął na swój celownik opieszałych administratorów danych? Odpowiedź na nie związana jest z dwoma czynnikami. Pierwszym z nich jest bezpieczeństwo osób, których dane wyciekły w wyniku naruszenia. Natomiast drugi objawia się w potrzebie zapewnienia efektywności działania organu. Danuta Salwa, główny specjalista w departamencie Kar i Egzekucji Urzędu Ochrony Danych w swoim wystąpieniu udostępnionym szerszej publice na stronie UODO podkreśla, że sprawy, w których administratorzy nie odpowiadają na pisma Urzędu bądź nie pozwalają na skontrolowanie działań jednostki, powodują jednocześnie nadmierne wydłużenie postępowań, co z kolei naraża prawa i wolności osób, których dane są przetwarzane przez opieszałego administratora.

Dobitnymi przykładami dział wytoczonych przeciwko wspomnianym w powyższym akapicie administratorom są 3 kary pieniężne nałożone przez Prezesa UODO. Pierwsza z nich, wynosząca 15 tysięcy złotych dotyczyła firmy zajmującej się pośrednictwem pracy – przechodząc do meritum sprawy, jednostka została ukarana za nieudzielenie pełnych wyjaśnień, przez co UODO nie był wstanie prawidłowo ustalić stanu faktycznego, co znacznie utrudniło realizację zadania związanego ze złożoną na firmę skargą. Druga dotyczyła przedsiębiorcy prowadzącego niepubliczny żłobek i przedszkole. Biznesmen sam zgłosił możliwość naruszenia danych osobowych. Ponadto w swoim piśmie wskazał on na wysokie ryzyko naruszenia praw i wolności dużej, wynoszącej około 200 osób grupy. Problem pojawił się jednak w późniejszych etapach postępowania, ponieważ przedsiębiorca pomimo trzykrotnego wezwania do złożenia wyjaśnień, zaprzestał jakichkolwiek działań w sprawie. Warto także podkreślić, że większą część narażonych na przykre konsekwencje wycieku danych stanowiły dzieci, nad którymi RODO roztacza szczególnie szczelny parasol ochronny. Ostatnia, a zarazem największa, wynosząca aż 100 tysięcy złotych kara została nałożona na Głównego Geodetę Kraju. Organ w związku z toczącym się przeciwko niemu postępowaniu uniemożliwiał przeprowadzenie kontroli w pełnym zakresie poprzez niewpuszczanie kontrolerów UODO do siedziby Głównego Urzędu Geodezji i Kartografii. Poddany kontroli organ swoją decyzję uzasadniał tym, że podjęte przez UODO działania miały dotyczyć numerów ksiąg wieczystych, które jego zdaniem nie stanowią danych osobowych. Prawdą jest, że dane zagadnienie jest sprawą nieoczywistą i może budzić mniejsze lub większe wątpliwości, a problematyka związana z tym czy numery ksiąg wieczystych są danymi osobowymi zasługuje na opisanie w osobnym artykule. Wracając jednak do sprawy Krajowego Geodety, nie same numery ksiąg wieczystych miały być przedmiotem kontroli. Jej zakres miał obejmować między innymi: ustalenie podstawy przetwarzania oraz udostępniania danych osobowych z powiatowych ewidencji gruntów i budynków, źródła pochodzenia danych, zakres i rodzaj udostępnianych danych oraz sposób i cele udostępnienia – na co Główny Geodeta Kraju nie zwrócił bądź nie chciał zwracać uwagi.

Kroki podjęte przez Prezesa UODO w celu zwalczania zjawiska braku współpracy z organami ochrony danych są bezpośrednim sygnałem skierowanym do wszystkich administratorów. Działania Prezesa UODO niosą za sobą prosty postulat – lekceważenie obowiązków związanych ze współpracą z UODO stanowi ciężkie naruszenie podlegające administracyjnej karze pieniężnej. Dzisiejsza, mocno informatyzowana rzeczywistość obfituje w liczne przypadki wykorzystywania wykradzionych danych, które sieją coraz większe spustoszenie w portfelach obywateli. Codziennie setki Polaków dowiaduje się, że na ich personalia zostały zaciągnięte kredyty lub innego rodzaju zobowiązania wynikające z umów, o których podpisaniu ofiary przestępstwa nie miały pojęcia. Przetwarzając dane powinniśmy pamiętać, że podczas kontroli UODO stawia na pierwszym miejscu bezpieczeństwo praw i wolności obywateli. Przedstawiciele UODO doskonale znają wartość danych osobowych. Przedsiębiorcy powinni pamiętać aby dotrzymywać wyznaczonych przez RODO terminów oraz współpracować Urzędem Ochrony Danych w celu zapewnienia bezpieczeństwa danych swoich klientów oraz uniknięcia olbrzymich kar finansowych.

Nazywam się Rafał Wielgus, jestem międzynarodowym audytorem wiodącym ISO 27001 i Inspektorem Ochrony Danych. Świadczę kompleksowe usługi z zakresu ochrony danych osobowych, skutecznie wdrażam RODO dla firm i instytucji, prowadzę szkolenia oraz audyty.

Posiadam prawie 20 lat doświadczenia w bezpieczeństwie systemów i sieci komputerowych. Jako jeden z nielicznych w Polsce dysponuję wiedzą praktyczną w zakresie Certified Information Systems Security Professional (CISSP). Szkolony również przez ABW i SKW.