Ponieważ mieliśmy okazję zapoznać się ze sprawozdaniem z działalności Prezesa UODO w roku 2018 r. i wnioskami z tego raportu, to chcemy się nimi z Wami podzielić.
Oczywiście nie sposób przytoczyć wszystkich istotnych kwestii, mając do czynienia ze 145 – stronicowym opracowaniem, ale postaramy się Was zaciekawiać najbardziej interesującymi wątkami.
Otóż, spora część tego sprawozdania zawiera informacje odnoszące się do kontrolowanych przez Urząd obszarów. M. in. podano, iż w okresie od wejścia w życie RODO do końca grudnia 2018 r. wpłynęło ok. 4500 skarg na różnego rodzaju operacje przetwarzania danych. Nie oszczędzono kościoła katolickiego i naruszeń w sferze prawa dostępu do danych osobowych. Znaczna część skarg dotyczyła także działalności firm windykacyjnych i przetwarzania przez nie danych dłużników, instytucji finansowych, banków, placówek medycznych, oświatowych, sklepów internetowych, jak również wymuszania uzyskania zgód marketingowych. Przedmiotem zainteresowań UODO było także przetwarzanie danych za pomocą monitoringów wizyjnych, gdzie stwierdzono szereg nieprawidłowości począwszy od braku klauzul informacyjnych, po brak oceny skutków dla przetwarzania danych oraz brak oceny ryzyka. Nie obyło się bez analizy nieprawidłowych procesów przetwarzania w związku z uzyskiwaniem danych z dokumentów tożsamości, a w szczególności z dowodów osobistych. Ponadto przyglądano się przetwarzaniu danych osobowych przez firmy marketingowe, firmy ubezpieczeniowe, czy kurierskie, które w niedostateczny sposób dbały o staranne doręczenia paczek do swoich adresatów i nierzadko pozostawiały je w rękach sąsiadów, na portierniach, czy u innych postronnych osób. Pod lupę wzięto ponadto prowadzenie tzw. ukrytych rekrutacji i stwierdzono, że taki sposób pozyskiwania danych potencjalnych pracowników nie jest zgodny z prawem. Innymi ciekawymi sytuacjami, z jakimi mierzył się UODO były sytuacje naruszania prawa do prywatności pracowników w związku z wręczaniem przez pracodawców wypowiedzeń umów w obecności osób nieuprawnionych, a zatem najczęściej innych pracowników.
Interesujące zarzuty odnosiły się ponadto do pracodawców, którzy zatrudniali firmy zewnętrze w celu przeprowadzania kontroli związanej z prawidłowością wykorzystania przez pracownika zwolnienia lekarskiego. Także przesyłanie przez podmioty lecznicze do rodziców małoletnich dzieci zawiadomień o konieczności zgłoszenia się na szczepienia obowiązkowe, co rozsyłano w formie wezwań bez kopert, odbywało się z naruszeniem prawidłowego przetwarzania danych.
UODO rozpatrywał ponadto kwestie związane z uruchomieniem tzw. „czarnej listy pacjentów”, czy nagrywaniem wizerunków uczniów podczas zajęć lekcyjnych.
Skargi nie ominęły także działalności Policji przetwarzającej dane w ramach Krajowego Systemu Informacyjnego Policji i Krajowego Centrum Informacji Kryminalnych oraz na zasadach związanych z funkcjonowaniem tzw. „niebieskiej kary” ofiar i sprawców przemocy domowej.
Część sprawozdania obejmuje ponadto opis przeprowadzonych kontroli, jak również kwestie związane z opiniowaniem projektów aktów prawnych i rozporządzeń dotyczących ochrony danych osobowych.
W raporcie nie zabrakło też spostrzeżeń UODO odnoszących się do błędów powstałych podczas przesyłania do organu nadzorczego zawiadomień o naruszeniu bezpieczeństwa danych osobowych. Między 25 maja 2018 r. a 31 grudnia 2018 r. UODO dokonał analizy 2 446 zgłoszeń pod względem wysokiego ryzyka naruszenia praw i wolności osób fizycznych. Nieco ponad 1800 naruszeń dotyczyło sektora prywatnego, zaś ok. 560 sektora publicznego.
Sprawozdanie jest o tyle interesujące, iż można z niego uzyskać praktyczne informacje na temat obszarów przetwarzania danych, które w szczególny sposób są atrakcyjne dla UODO.