12:53
25/6/2019

Ile razy zgłaszano do UODO naruszenia ochrony danych w pierwszym roku obowiązywania RODO? Czy oceny ryzyka związanego z wyciekiem zawsze były prawidłowe? Jakie błędy popełniały osoby składające skargi? Spytaliśmy o to UODO i dostaliśmy konkretne liczby.

W maju tego roku minęła pierwsza rocznica stosowania RODO i wiele osób tę rocznicę odnotowało. Nam jednak brakowało w podsumowaniach pewnych liczb. Podobnie jak pół roku wcześniej chcieliśmy wiedzieć ile skarg zgłoszono do UODO, o ilu wyciekach informowano, czy administratorzy wywiązują się z obowiązku informowania itd.

Skierowaliśmy odpowiednie pytania do Urzędu Ochrony Danych Osobowych i na odpowiedzi czekaliśmy do dziś. Wybaczcie więc, że nasze podsumowanie roku RODO jest trochę spóźnione, ale za to będzie ciekawsze.

Ponad 4,5 tys. zgłoszonych naruszeń

Rzecznik prasowy UODO Adam Sanocki poinformował nas, że w okresie od 25 maja 2018 r. do 25 maja 2019 r. do Urzędu Ochrony Danych Osobowych zgłoszono 4539 naruszeń ochrony danych osobowych, o których mowa w art. 33 RODO. Czyli – mówiąc prościej – tyle razy różne instytucje i firmy zgłaszały do UODO, że coś im wyciekło. Takie wycieki mogły być mniej lub bardziej poważne.

​Zdarzały się niestety przypadki, w których UODO otrzymywał sygnał o zdarzeniu, które nie zostało zgłoszone przez administratora, a jednak były podstawy żeby sądzić, że do wycieku doszło. W takich przypadkach Urząd zobowiązywał administratorów do podjęcia właściwych działań.

813 prób “przemilczenia” wycieku

Ile razy wyciek był na tyle poważny, że trzeba było powiadomić osoby, których dane dotyczą? Tego niestety nie wiemy gdyż – jak wyjaśnił nam Adam Sanocki – urząd nie gromadzi informacji w zakresie ilości zgłoszeń, w których dokonano zawiadomienia osób.

Dostaliśmy za to inną ciekawą liczbę.

W toku rozpatrywania spraw UODO dostrzega, że administratorzy w przypadku wystąpienia wysokiego ryzyka naruszenia praw lub wolności dla tych osób, zazwyczaj w sposób prawidłowy je o tym zawiadamiają. W sytuacjach, w których jest takie ryzyko , ale administratorzy nie dokonał takiego zawiadomienia bądź zrobił to w sposób nieprawidłowy, Urząd zwraca się do nich o dopełnienie tego obowiązku – tak było w  813 sprawach.

Policzmy. Skoro rocznie było 813 wycieków, w których administrator powinien powiadomić ludzi i tego nie zrobił to oznacza, że mamy średnio 2 takie wycieki na każdy dzień roku. To powinno nam dawać do myślenia. Miejmy też na uwadze, że odnosimy się tutaj do spraw, o których UODO w ogóle się dowiedział, a przecież niektórzy administratorzy potrafią unikać zgłaszania wycieków do UODO.

W tym przypadku częściowo ograniczono ryzyko wycieku

Przyczyny wycieków

Najczęstszymi przyczynami naruszeń ochrony danych osobowych były:

  • ujawnienie danych osobowych niewłaściwemu odbiorcy (np. wysyłka e-maila do złego adresata);
  • utrata korespondencji papierowej przez operatora pocztowego bądź otwarcie przed zwróceniem jej do nadawcy;
  • zagubienie bądź kradzież nośnika/urządzenia (np. pamięci pendrive lub laptopa).

Moglibyśmy powiedzieć, że w kwestii powodów wycieków niewiele się zmienia.

Jest prośba. Nie piszcie skargi na kolanie

W pierwszym roku RODO do UODO wpłyneło ponad 8 tys. skarg. Dla porównania w  całym 2017 r. wpłynęło ich 2950.

Niestety około 70% skarg ma braki formalne. Przykładowo brakuje w nich podpisu albo określenia żądania tj. niewskazanie jakich działań skarżący oczekuje od organu ds. ochrony danych osobowych. Takie braki formalne sprawiają, że urząd musi wysyłać do osób skarżących pisma wzywające do usunięcia braków. To z kolei wydłuża postępowania i zwiększa liczbę czynności jaką muszą wykonać pracownicy urzędu. Ten sam problem dał o sobie znać po pierwszym półroczu RODO więc jest mała prośba do wszystkich. Piszcie skargi starannie!

Jeśli nie wiesz jak napisać skargę, poproś znajomego o pomoc (fotka z Depositphotos.com)

Skargi najczęściej dotyczą takich zagadnień, jak usunięcie lub sprostowanie danych osobowych, wymuszenia zgód na przetwarzania danych czy wykorzystywania danych w celach telemarketingowych oraz niewłaściwe spełnienie obowiązku informacyjnego.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

37 komentarzy

Dodaj komentarz
  1. RODO to wyciąganie kasy od obywateli. Prywaciarz nie zapłaci ani złotówki z własnej kieszeni bo karę wliczy sobie w cenę towaru, świadczonej dla klienta usługi.

    Pomijam fakt, że firma, która łamie RODO płaci państwu haracz, a nie osobie, której dane wyciekły. Skoro moje dane wyciekły to ja powinienem dostać kasę, a nie państwo.

    Czysty komunizm i tyle w temacie.

    • A w domu wszyscy zdrowi?

    • No, no, firma tobie powinna płacić za wyciek danych, bo twoje dane wyciekły, ciekawa teoria. Już widzę te ustawki między osobą a firmą do prania brudnych pieniędzy. I tak niektórych dane byłyby łamane po kilkaset razy, żeby przesyłać jej lewą kasę.
      Może lepiej zacznij od przeczytania całego RODO, zrozumienia, a potem będzie dzielił się swoimi przemyśleniami.

    • Nie ma się co dziwić. Dla urzędników jesteśmy zasobem opisanym cyferkami. A jak każdy porządny zasób (asset) ten też powinien płacić.

    • Pieniądze za co? :) Jeżeli uważasz, że poniosłeś z tego tytułu jakieś straty, to przeciez możesz wytoczyć pozew cywilny.

      Jeżeli, ktoś miałby sobie rekompensować poniesione kary ceną produktu, to przestaje być atrakcyjny na rynku :)

      Myślałem, że podstaw przedsiebiorczości to uczą w szkole średniej jak się ma 16 lat.

    • don_aldzik
      No nie wiem czy zdrowi, ale chyba w ciąży nie jest. Zapytam twojej mamy jak będę u niej na noc.

      123 2019.06.25 13:19
      No pewnie bo policja i cała reszta jest tak głupia, że uwierzy, że nie był to kant?
      Na niepłacenie podatków są lepsze sposoby jak założenie firmy w Czechach.

      Satrapa 2019.06.25 13:24
      Obywatel to dojna krowa, która ma pracować na Pana. Czyli urzędnika i polityka.

    • No wiadomo, że większość ludzi będzie wolała byle jak i niebezpiecznie, byle tanio. Na szczęście państwo jeszcze gdzie niegdzie wymusza jakość nawet kosztem ceny.

    • Doman 2019.06.25 15:58
      A może niech klient sam zdecyduje czy chce by go RODO obowiązywało?
      Dlaczego do kur*y nędzy UE musi na siłę się do wszystkiego wpie*pszać mówiąc mi co jest dla mnie dobre? To są moje DANE OSOBOWE, a nie przeklętego unijnego urzędnika.

      Tomasz 2019.06.25 13:40
      Jeżeli firma w wyniku RODO padnie to stracą na tym tylko klienci bo zmniejszy się konkurencja na rynku.

    • UE po całości niszczy małe rodzinne firmy co można zauważyć w statystykach po ilości zamykanych firm po prowadzeniu RODO. No ale co tam szkodliwe RODO. Ważne, że po upadku rodzimej firmy były prywaciarz będzie dostawał 500+ i inne socjale.

    • Ludzie z rodo chodzi o kasę na pensję nierobów urzędników, a nie o żadną ochronę danych.
      Gdyby chcieli rozwiązać problem ochrony danych to nie wymagaliby od np. rejestracji karty prepaid, obowiązkowego meldunku, wymieniania dowodu osobistego co 10 lat itd.

  2. Moje skargi też zawierały braki formalne, ale z drugiej strony nie trudno się dziwić. Język jakim odpowiada UODO jest bardzo urzędowy i ciężki do zrozumienia. Przestrzegają swoich bardzo sztywnych wytycznych. Przykładowo jeśli w danych nadawcy podałem adres e-mail to nie wystarczy, aby domyślili się o jakie konto w firmie chodzi – muszę raz jeszcze we wniosku dobitnie wskazać, jak dziecku o jaki adres e-mail chodzi itp. Albo nie wystarczy napisać nie mogę usunąć danych od firmy ZYX, tylko oczekuję, aby UODO …. itd.

    • Dokładnie, ja napisałem, że dzwoni do mnie firma, podająca się według informacji, które uzyskałem w rozmowie za firmę pana Kazia, która po sprawdzeniu danych (adres, KRS) okazała się warsztatem samochodowym. UODO wezwał mnie do skonkretyzowania, czy mam jakieś roszczenia wobec firmy pana Kazia. Nosz kwa… Jasne… pan Kazimierz – mechanik chce mnie zaprosić na pokaz garnków samogotujacych…

    • @mik ale czego właściwie oczekiwałeś jeśli podałeś tylko dane firmy Pana Kazia? Że UODO przeczesze całą Polskę w poszukiwaniu oszusta? :D

    • Ja również składałem skargę na firmę która nie chciała dopełnić obowiązku informacyjnego bo prawdopodobnie przetwarza DO nielegalnie.
      Zabrakło podpisu i wskazania co ja chcę od firmy. Myślałem, że kary są przewidziane prawem za takie postępowanie, a nie na zasadzie co ja chcę (bo ja to chcę żeby CIO dostał publicznie 50 batów). Natomiast nie wydaje mi się żeby do złożenia skargi był konieczny podpis kwalifikowany albo profil zaufany. IMO jest to zwykłe czyszczenie kolejki, bo urząd nie był przygotowany na taki zalew skarg. Czyli chcieliśmy dobrze, wyszło jak zawsze.

  3. Wiele urzędów i instytucji zachowuje się jak fb, co skopiują lub pozyskają od obywatela jest ich własnością na zawsze. Prawo do usunięcia, ograniczenia przetwarzania lub zapomnienia nie ma zastosowania.

    • Jedna z zasad Internetu:
      If it is public, it is public. Forever.

  4. Jak prywaciarz popełni naruszenie danych i dostanie karę, a następnie przerzuci ją na klientów to się może okazać, iż nie jest konkurencyjny i rynek szybko go zweryfikuje.

    Ktoś musi tego pilnować, bez UODO o naruszeniu Twoich danych mógłbyś dowiedzieć się jak już książeczka do spłaty rat przyszłaby pocztą ;)

    • Poważnie myślisz, że google, ms, fb czy nawet taka BIEDRONKA zrobi sobie coś z kary? Podniosą sobie ceny usług. Klient oczywiscie może zrezygnować, ale tego nie zrobi bo te firmy mają monopol.

    • @misiak Gdzie Biedronka ma monopol?

      Jej główną zaletą są niskie ceny, więc nie mogą sobie pozwolić na przerzucenie na klienta każdej kary – w pewnym momencie konkurecja ją zje.

    • Mateusz 2019.06.27 11:50
      Wejdź na kanał AGROUNI inaczej iAGRO TV. Gość podaje przykłady jak okradają ich hipermarkety. Biedronka ma monopol u producentów. Jeżeli rolnik nie zgodzi się np. sprzedać ziemniaki po 40 groszy za 1kg to biedronka sprowadza sobie droższe ziemniaki z zagranicy.

      Biedronka nie ma niskich cen. Ziemniaki u rolnika kupuje po 60 groszy, marchew po 1zł, pietruszka po 3 zł, kalafior po 2,70, mleko po 1,50, a mięso wieprzowe po 10 zł. Teraz porównaj sobie to z cenami hipermarketu :)

    • Mateusz 2019.06.27 11:50
      Wejdź na kanał AGROUNI inaczej iAGRO TV. Gość podaje przykłady jak okradają ich hipermarkety. Biedronka ma monopol u producentów. Jeżeli rolnik nie zgodzi się np. sprzedać ziemniaki po 40 groszy za 1kg to biedronka sprowadza sobie droższe ziemniaki z zagranicy. Biedronka nie ma niskich cen.

      Ziemniaki u rolnika ***JA*** kupuje po 60 groszy, marchew po 1zł, pietruszka po 3 zł, kalafior po 2,70, mleko po 1,50, a mięso wieprzowe po 10 zł. Teraz porównaj sobie to z cenami hipermarketu :)

  5. A morele.net nic ;)

    • Morele? Śliwki-robaczywki są nietykalne.
      Poszukaj ich komunikatu z 25.04.2019 r. (słowa kluczowe: morele, pressroom), zaczynającego się od słów: “Chcielibyśmy odnieść się do sprawy nieuprawnionego dostępu do danych osobowych naszych Klientów. Tym razem mniej instytucjonalnie niż miało to miejsce w grudniu 2018, kiedy mailowo i na stronie informowaliśmy o całej sytuacji.”

    • A widziałeś aby w Polsce coś było z urzędu załatwiane od ręki?! Nie zapominaj, że strona ma możliwość jeszcze dochodzenia swoich praw w sądzie. I nawet jeśli Morelki dostaną karę, to więcej niż pewne, że wniosą sprawę do sądu. A o sprawie i tak będzie cicho! Nagłośnią tylko wtedy gdy wyjdą bez kary. A skoro na razie cisza, to pewnie jest coś na rzeczy. Firma nie pochwali się, że wyciek był ich winą, a w sumie każdy wyciek to wina każdej firmy z której wyciekły dane! Jak masz dziurę w bucie to masz obtartą stopę a nie ucho.

  6. A telemarketerzy dzwonią jak dzwonili. Zmieniło się tyle, że teraz gdy pytam kto jest administratorem bazy to się rozłączają.

  7. Świat skretyniał do szczętu.

    • Komunizm wrócił.

  8. ‘Ile razy administratorzy uchylili się od informowania o wycieku?’

    Ojojoj…

    Może zacznijmy od podstaw: ile razy wymusili zgodę na przetwarzanie?

  9. Artykuł wygląda jakby się urwał. W ostatnim akapicie zawarto jedno zdanie… tak jakby – bo nie ma nawet kropki a i logicznie pasowałoby napisać jakiego obowiązku. Myślałem że będzie opis jak powinna taka skarga wyglądać lub link do materiału, w którym to opisywaliście. Albo inne standardowe rady, co robić żeby zmniejszyć ryzyko wycieku. Tu naprawdę nie miało być nic więcej?

    • Informacje o ,które pytasz są łatwo dostępne w internecie.

  10. Witam,

    czy możecie wskazać jakis adres gdzie znajdę jakieś template’s przy podejrzeniu używania moich danych bez pozwolenia, oraz wzory pism do właściwych urzędów?

    pzdr

  11. Dane osobowe to wyciekały przez 30 lat. RODO zmieniło tylko tyle, że niektórzy nie dostaną częstych aktualizacji. A jak to poczyścić tego nie wie nikt.

  12. Mnie najbardziej tu wnerwia fakt, że najgorsza zmora – czyli niechciany telemarketing hula tak jak przed RODO.
    Dzwonią, mają w d… kiedy pytam o to skąd mają moje dane, kto jest administratorem czy żądam usunięcia mnie z bazy.
    Najczęściej przegadują albo się rozłączają, a ja dysponuję tylko numerem z którego dzwonią i zwykle zmyślonymi nazwą firmy i nazwiskiem konsultanta.
    UODO z kolei wymaga podania adresu i nazwy podmiotu… jeszcze może rozmiar kołnierzyka?
    Skoro to urząd państwowy to chyba łatwiej byłoby im wygrzebać te informacje?
    Co ja mam najpierw detektywa wynajmować zanim zgłoszę?
    Poza tym od zgłoszenia przez 3 miesiące czekałem na jakąś odpowiedź (co z ustawowymi 30 dniami?)!
    I żeby się cokolwiek dowiedzieć musiałem sam zacząć ich nękać – obdzwonić 5 kolejnych urzędów/komórek bo a to nie znają sygnatury sprawy a to inne.
    Zaczęli reagować dopiero gdy mówiłem że nagrywam rozmowę!
    Nożeszku…! I co tak naprawdę to RODO zmieniło dla zwykłego Kowalskiego? NIC!

  13. Jeśli chodzi o statystykę “70% wniosków miało braki formalne” to nie wynika to z niestarannego pisania skarg, tylko z braku jasnego komunikatu, że działania jakie skarżący ma podać działania jakie ma podjąć organ kopiując je 1:1 z RODO.

    Pisałem skargę do Organu wskazując oczekiwane działania własnymi słowami i zostało to odbite.

    Dlatego to nie jest taka prosta interpretacja. Jeżeli 70% wniosków jest odrzucane to może coś jest nie tak z instrukcją / komunikacją drogi Organie.

  14. lepszy by był podpis pod ostatnim zdjęciem:

    “Jeśli nie wiesz jak napisać skargę, poproś sąsiada (/współpracownika) o pomoc”

  15. Skoro 70% wniosków jest źle wypełnionych, to znaczy że procedura składania wniosków jest niejasna lub niezrozumiała. Prawdopodobnie udaje się to tylko tym osobom które już mają doświadczenie w temacie bo został przemaglowane podczas składania wcześniejszych wniosków.

    Tak wygląda państwo przyjazne obywatelom w praktyce :)

  16. […] W Polsce jest to Urząd Ochrony Danych Osobowych. Pamiętajcie by składana tam skarga miała podpis i określenie żądania. W ten sposób oszczędzicie urzędowi zbędnej pracy i przyspieszycie sprawę). Warto dodać, że […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: