Ochrona danych osobowych na coraz wyższym poziomie. Zarówno świadomość, jak i przepisy wymagają jednak poprawy

– Stale wzrasta wiedza o tym, że ochrona danych osobowych jest nam przynależna, że jest naszym prawem podstawowym i że administratorzy muszą to respektować – mówi Monika Krasińska z Urzędu Ochrony Danych Osobowych. Jednak zarówno w kwestii świadomości na temat bezpieczeństwa naszych danych, jak i przestrzegania przepisów prawa jest w Polsce jeszcze wiele do zrobienia – przypominają eksperci z okazji obchodzonego 28 stycznia Dnia Ochrony Danych Osobowych. Część z przepisów zresztą wymaga zmian. Administratorzy i inspektorzy ochrony danych osobowych zgłaszają bowiem sprzeczności między krajową legislacją a unijnym rozporządzeniem GDPR.

– Coraz lepiej radzimy sobie z ochroną danych osobowych nas dotyczących, co wynika też z coraz większej świadomości w tej kwestii – mówi agencji Newseria Biznes Monika Krasińska, dyrektorka Departamentu Orzecznictwa i Legislacji Urzędu Ochrony Danych Osobowych. – Dużo dobrego zrobiła w tym zakresie polityka edukacyjna organów nadzorczych, w tym polskiego organu ochrony danych osobowych, jak i Europejskiej Rady Ochrony Danych Osobowych czy Europejskiego Rzecznika Ochrony Danych Osobowych. Zaczynamy też mówić jednym językiem wraz z innymi rzecznikami ochrony prywatności i tutaj istotna jest rola orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej i Europejskiego Trybunału Praw Człowieka. Te sądy wyznaczają kierunek właściwej interpretacji przepisów i pokazują, na jakie wartości, jakie zagadnienia powinien być kładziony większy nacisk ze strony organów nadzorczych i samych administratorów.

Wyrazem rosnącej świadomości Polaków w kwestii ochrony ich danych osobowych jest m.in. sukcesywny wzrost zapytań kierowanych do administratorów danych oraz skarg składanych do Urzędu Ochrony Danych Osobowych. W 2022 roku do UODO zgłoszono ich blisko 13 tys., podczas gdy dwa lata wcześniej było ich 7,5 tys. Ta rosnąca od kilku lat, od kiedy weszły w życie przepisy unijnego rozporządzenia RODO, liczba zgłaszanych naruszeń pokazuje, że Polacy mają coraz większą wiedzę odnośnie do przysługujących im praw.

– Świadomość rośnie także dzięki działaniom edukacyjnym inspektorów ochrony danych osobowych. To są lokalni rzecznicy, którzy w środowiskach przetwarzania pełnią niebagatelną rolę – są opiniodawcami pewnych procesów dla administratorów, kontrolują te procesy, są punktem kontaktowym dla osób, których te dane dotyczą. Są też tymi, którzy podpowiadają i współpracują z organem ochrony danych osobowych. Jako UODO bardzo chwalimy sobie tę współpracę, bo to właśnie dzięki wiedzy i kompetencjom inspektorów ochrony danych administratorzy coraz lepiej znają swoje obowiązki i podążają właściwymi ścieżkami przetwarzania danych osobowych – mówi Monika Krasińska.

Mimo postępów, wciąż dużo jest do zrobienia zarówno w sektorze publicznym, jak i w sektorze prywatnym, gdzie istnieje potrzeba większej przejrzystości procesu przetwarzania danych osobowych. W 2022 roku w wyniku przeprowadzonych przez UODO z urzędu 59 postępowań administracyjnych dotyczących naruszenia przepisów o ochronie danych osobowych, wydano 25 decyzji administracyjnych. W 19 przypadkach urząd zdecydował się skorzystać z uprawnienia do nałożenia administracyjnych kar pieniężnych, nakładając na 20 podmiotów w sumie ponad 7,8 mln zł. Pod koniec ubiegłego roku głośną sprawą było nałożenie maksymalnej kary 100 tys. zł na Ministerstwo Zdrowia za ujawnienie danych o stanie zdrowia osoby prywatnej.

– Często dostrzegamy, że w marketingu cały czas dochodzi do nadużyć związanych z nierespektowaniem sprzeciwu osób, których dane osobowe dotyczą – mówi dyrektorka Departamentu Orzecznictwa i Legislacji Urzędu Ochrony Danych Osobowych. – Z ogromem wyzwań mierzy się też sektor bankowy, ponieważ przy stosowaniu nowych technologii dochodzi do profilowania, automatycznego przetwarzania danych osobowych, a nie zawsze osoby, których one dotyczą, mają pełną wiedzę o zakresie przetwarzania tych danych, chociażby w celu podjęcia wobec nich negatywnej decyzji kredytowej. Cały czas dochodzi też do nieuprawnionego pozyskiwania danych poprzez praktyki kopiowania różnego rodzaju dokumentów, chociażby dokumentów tożsamości – mimo że taka praktyka nie wynika z przepisów i cele, dla których te rozwiązania są stosowane, wcale nie wymagają tego rodzaju procesów.

Problemem jest też fakt, że administratorzy nie do końca rzetelnie przeprowadzają analizę ryzyka, przez co zastosowane przez nich zabezpieczenia techniczne i organizacyjne bywają nieadekwatne do faktycznych zagrożeń. Często zdarza się też, że administratorzy danych osobowych pozyskują je w zakresie szerszym, niż wynika to z realizowanej przez nich działalności.

– To też stanowi naruszenie zasad ochrony danych osobowych, chociażby zasady minimalizacji – mówi Monika Krasińska. – Bardzo często przesyłane do UODO akty do zaopiniowania nie podlegają ocenie skutków dla ochrony danych osobowych, czyli pogłębionej refleksji na temat zgodności zamysłów legislacyjnych z przepisami o ochronie danych osobowych, a wiele z aktów w ogóle nie jest konsultowanych, co także nie sprzyja budowaniu odpowiedniej jakości prawa. Ale też wiele resortów dostrzegło ten ogrom zadań i wyzwań nałożonych przez rozporządzenie o ochronie danych osobowych i konsultując z UODO różne rozwiązania przed wdrażaniem, chociażby dużych systemów informatycznych, teleinformatycznych, przed zbudowaniem gigantycznych baz.

Jak podkreśla, w polskim prawodawstwie wciąż potrzeba szeregu zmian dotyczących zasad stosowania ochrony danych osobowych. Mimo że proces dostosowywania krajowej legislacji do unijnych wymogów w tym obszarze został zainicjowany już kilka lat temu i działa sprawnie, to cały czas są przepisy, które czekają na ich poprawienie.

– Sygnalizują nam to nie tylko inspektorzy ochrony danych, ale także sami administratorzy, którzy czasami znajdują się w głębokim impasie pomiędzy stosowaniem przepisów krajowych a stosowaniem rozporządzenia o ochronie danych osobowych. To nie powinny być dwa różne brzegi, tutaj musimy mówić jednym głosem, wytyczając administratorom przejrzysty, rzetelny wzorzec postępowania w zakresie ich praw i obowiązków. Tego oczekują od nas także osoby, których dane dotyczą – podkreśla ekspertka UODO.

Jak wynika z ubiegłorocznego badania Krajowego Rejestru Długów i serwisu ChronPESEL.pl pod patronatem UODO, większość Polaków pytana co wchodzi w skład danych osobowych, wskazuje przede wszystkim PESEL (92 proc.), a dopiero potem imię i nazwisko (90 proc.) czy adres zamieszkania (84 proc.). Tymczasem dane osobowe, które identyfikują użytkownika, to też cały ślad pozostawiony online: od numeru karty kredytowej i danych logowania do rachunków bankowych po historię przeglądarki, historię leczenia czy dokonywanych zakupów. Takie informacje mogą zostać wykorzystane np. do profilowania, które będzie działać na szkodę użytkownika, określenia osobowości, stylu życia, stanu zdrowia czy zainteresowań danej osoby. Mogą też posłużyć cyberprzestępcom np. do włamania na konto bankowe albo ukierunkowanych ataków phishingowych.

Z badań BIK wynika, że 43 proc. osób w wieku od 18 do 44 lat oraz 29 proc. powyżej 45. roku życia miało w ubiegłym roku styczność z co najmniej jedną próbą wyłudzenia danych. Drugim poważnym zagrożeniem są wycieki danych z firm i instytucji. Tymczasem średnio co piąty Polak nie wie, jakie zagrożenia wiążą się z wyciekiem danych osobowych („Cyberbezpieczeństwo Polaków 2023”). Przeprowadzone w 2022 roku badanie KRD i ChronPESEL.pl pokazało również, że ponad 80 proc. Polaków nie wie, w ilu miejscach znajdują się ich dane osobowe, a 70 proc. z uważa, że nie jest w stanie zapewnić im należytej ochrony.

W Polsce co roku 28 stycznia obchodzony jest Dzień Ochrony Danych Osobowych, który został ustanowiony w rocznicę sporządzenia Konwencji Rady Europy z 28 stycznia 1981 roku w sprawie ochrony osób w zakresie zautomatyzowanego przetwarzania danych osobowych. To najstarszy akt prawny o zasięgu międzynarodowym, który kompleksowo reguluje zagadnienia związane z ochroną danych osobowych.