Każdego roku sprawozdanie Prezesa Urzędu Ochrony Danych Osobowych (PUODO) rzuca światło na to, jak polskie podmioty publiczne, przedsiębiorcy oraz pozostałe jednostki, co do których mają zastosowanie przepisy Ogólnego rozporządzenia o ochronie danych (RODO), wypełniają obowiązki związane z ochroną danych osobowych. Raport za 2024 rok jest wyjątkowy, przynosi informację o rekordowym wzroście łącznej kwoty kar finansowych aż o 1030% w porównaniu z rokiem poprzednim. Jednocześnie rośnie liczba skarg i zgłaszanych naruszeń. To wyraźny sygnał, że polski organ nadzorczy ds. ochrony danych nie zwalnia tempa, a ryzyko finansowe i reputacyjne związane z RODO staje się coraz bardziej odczuwalne dla administratorów danych. Analizujemy, na co polski organ nadzorczy zwracał szczególną uwagę i jakie wnioski powinni wyciągnąć decydenci zarówno w firmach, jak i w podmiotach publicznych – m.in. urzędach, czy placówkach oświatowych.
fot. z zasobów Canvy Pro
Rekordowy wzrost wysokości kar finansowych
W 2024 roku Prezes UODO nałożył 27 kar pieniężnych na łączną kwotę ponad 13,9 mln zł. To ponad dziesięciokrotny wzrost w stosunku do 1,23 mln zł w roku 2023. Za co Urząd karał najczęściej? Nieprawidłowości można podzielić na dwie główne grupy:
Błędy ludzkie i proceduralne
To wciąż najczęstsza przyczyna incydentów bezpieczeństwa. Często podkreśla się, że to czynnik ludzki stanowi najsłabsze ogniwo systemu ochrony danych w podmiocie, niezależnie od stosowanych zabezpieczeń technicznych. Przykłady incydentów obejmują m.in. wydanie dokumentacji medycznej osobie stosownie nieupoważnionej do jej otrzymania, wysłanie bazy danych na zły adres e-mail, a nawet ujawnienie danych osobowych osoby prywatnej na konferencji prasowej.
Braki techniczne i organizacyjne
Prezes Urzędu Ochrony Danych Osobowych surowo karał za brak zapewnienia fundamentalnych zabezpieczeń. Na liście przewinień znalazły się m.in. brak wykonanej analizy ryzyka, brak szyfrowania nośników danych na których przechowywane są dane osobowe, nieaktualizowanie oprogramowań serwerów (które prowadziły do ataków typu ransomware), a także brak wyznaczenia Inspektora Ochrony Danych (IOD) w podmiotach, które są obowiązane do jego wyznaczenia na podstawie przepisów Ogólnego rozporządzenia o ochronie danych (RODO).
Gdzie Polacy skarżą się najczęściej?
Do Prezesa Urzędu Ochrony Danych Osobowych wpłynęło łącznie ponad 8 tys. skarg, co stanowi zauważalny wzrost w porównaniu z rokiem ubiegłym (wzrost o 16%). Najwięcej z nich dotyczyło:
- Sektora prywatnego (3294 skargi) – tutaj dominowały problemy związane z wykorzystaniem monitoringu wizyjnego, przetwarzaniem danych bez odpowiedniej podstawy prawnej w celach marketingowych oraz windykacyjnych, w tym problemy z niewłaściwą realizacją praw osób, których dane dotyczą, wynikających wprost z przepisów RODO, np. prawa do sprostowania danych.
- Sektora zdrowia, zatrudnienia i szkolnictwa (1679 skarg) – szczególną uwagę zwracają incydenty związane z danymi o charakterze wrażliwym. Skargi dotyczyły m.in. udostępniania przez pracodawcę danych o stanie zdrowia współpracownikom, błędów przy przetwarzaniu danych pacjentów czy udostępniania danych uczniów przez szkoły, w tym dokumentacji dotyczącej stanu zdrowia ucznia, m.in. wynikających z opinii poradni psychologiczno-pedagogicznych.
- Sektora finansowego i telekomunikacyjnego (1532 skargi) – w tym obszarze problemy koncentrowały się bezprawnym przetwarzaniu danych przez podmiotu sektora finansowego – głównie przez banki (zwłaszcza po wygaśnięciu umowy), udostępnianiu danych podmiotom nieuprawnionym oraz na procesach windykacyjnych.
- Sektora publicznego (1551 skarg) – jednostki sektora publicznego, w tym urzędy najczęściej popełniały błędy, udostępniając nadmiarowe dane w ogólnodostępnej przestrzeni publicznej – w Biuletynach Informacji Publicznej (BIP), podczas transmisji sesji rady gminy czy podczas przesyłania korespondencji mailowej do wielu adresatów naraz – bez użycia opcji „UDW”.
Nowe technologie na celowniku UODO: AI i deepfake na tapecie
A co z nowinkami technologicznymi? Cóż, PUODO też ma je na radarze. W raporcie po raz pierwszy tak mocno wybrzmiały zagrożenia, o których mówi się coraz głośniej. Pojawiły się skargi na wykorzystywanie naszych danych osobowych przez media społecznościowe do trenowania sztucznej inteligencji. Kolejny gorący temat to deepfake, czyli manipulacje i dezinformacja występująca m.in. w reklamach.
To ważny sygnał, że administratorzy danych muszą wyjść poza dotychczasowe ,,utarte” schematy. Ochrona danych osobowych wykracza obecnie poza dbałość o ustalone procedury i wymaga świadomego zarządzania ryzykami związanymi z wdrażaniem nowych technologii. Zamiast biernie obserwować te zmiany, kluczowe jest podjęcie konkretnych kroków zaradczych: opracowanie wewnętrznych zasad regulujących korzystanie z narzędzi AI przez personel, szczegółowa weryfikacja dostawców oprogramowania pod kątem zgodności z wymogami RODO oraz transparentne informowanie osób, których dane dotyczą, o sposobie ich przetwarzania przez systemy wykorzystujące sztuczną inteligencję. Odpowiedzialne podejście do technologii AI jest dziś fundamentalnym elementem zarządzania zgodnością, chroniącym podmiot przed nowymi zagrożeniami prawnymi i finansowymi oraz budującym jego wiarygodność wśród klientów i partnerów.
Co z tego wynika dla Ciebie? 4 kluczowe wnioski
Przechodząc do meritum, warto zapytać: co z tego raportu wynika dla Twojej organizacji? Oto cztery wnioski, które warto wziąć sobie do serca:
- Audyt to konieczność, nie fanaberia
PUODO kontroluje coraz częściej (50 kontroli w 2024 r.!). Skupia się między innymi na odpowiedniej realizacji obowiązku informacyjnego oraz bezpieczeństwie aplikacji, w których przetwarza się dane osobowe. Regularne przeprowadzanie audytu RODO stanowi najskuteczniejszą metodę zarządzania ryzykiem w organizacji.
2. Zadbaj o fundamenty
Brak wykonanej pełnej analizy ryzyka czy korzystanie z nieaktualnych wersji oprogramowań to proszenie się o kłopoty. I to kosztowne kłopoty. Upewnij się, że podstawowe zabezpieczenia w Twoim podmiocie nie tylko zostały wdrożone, ale również są na bieżąco monitorowane, w tym w szczególności pod kątem zapewnienia ich odpowiedniego poziomu bezpieczeństwa.
- Błędy ludzkie to wciąż główna przyczyna naruszeń
Prawie 15 tysięcy zgłoszonych naruszeń to w dużej mierze efekt ludzkich pomyłek. Błędnie wysłany mail, zgubiony dokument… Brzmi znajomo? Regularne szkolenia to nie wydatek, to inwestycja w bezpieczeństwo organizacji.
- Dane wrażliwe traktuj ze szczególną troską
Sektory takie jak: medycyna, rekrutacja, edukacja – w nich margines błędu jest najmniejszy. PUODO patrzy na te obszary ze zdwojoną uwagą, bo ryzyko jest tu po prostu największe.
Sprawozdanie PUODO za 2024 rok to zimny prysznic dla tych, którzy traktowali obowiązki nakładane przepisami o ochronie danych, w tym przepisami Ogólnego rozporządzenia o ochronie danych (RODO), jako biurokratyczny wymysł. Rekordowe kary pokazują, że Prezes Urzędu Ochrony Danych Osobowych dysponuje realnymi instrumentami egzekwowania prawa, a budowanie w organizacji kultury ochrony danych jest kluczowe dla jej bezpieczeństwa finansowego oraz reputacji.
Nie czekaj na kontrolę i ewentualną karę. Przeanalizuj ryzyka w swojej organizacji i upewnij się, że Twoje procedury są skuteczne. Skontaktuj się z nami, aby przeprowadzić audyt RODO.
Napisz: bok@asystahr.pl
