Sprawozdanie z działalności Prezesa UODO w roku 2024

Prezes Urzędu Ochrony Danych Osobowych opublikował sprawozdanie ze swojej działalności w 2024 r. Dokument, jak co roku, do 31 sierpnia musi zostać przedstawiony parlamentowi, Radzie Ministrów, Rzecznikowi Praw Obywatelskich, Rzecznikowi Praw Dziecka oraz Prokuratorowi Generalnemu. Stanowi to wykonanie art. 59 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 oraz art. 50 ustawy z 10 maja 2018 r. o ochronie danych osobowych.

W sprawozdaniu z działalności polskiego organu nadzorczego w 2024 r. przedstawiono najważniejsze ustalenia dotyczące zrealizowanych przez Prezesa UODO ustawowych zadań, do których należą: rozpatrywanie skarg, prowadzenie kontroli, opiniowanie projektów aktów prawnych, przyjmowanie zgłoszeń naruszeń ochrony danych i podejmowanie czynności wobec administratorów i podmiotów przetwarzających w celu powiadomienia osób, których dane zostały naruszone. Ważnym zadaniem jest również działalność edukacyjno-informacyjna oraz uczestnictwo w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.

W 2024 roku organ nadzorczy wydał ogółem 1719 decyzji administracyjnych, na które złożyło się 1670 decyzji w sprawach skargowych, 20 decyzji dotyczących naruszeń, 7 decyzji dotyczących kontroli i 22 decyzje w sprawach nałożenia kar pieniężnych.

Skargi do Prezesa UODO

W stosunku do roku 2023 ogólna liczba wnoszonych do UODO skarg wzrosła do 8056 (rok wcześniej było ich 6962). Najwięcej odnotowano w sektorze prywatnym, najmniej zaś w sektorze transgranicznym.

Pośród nich najczęstsze dotyczyły m.in. udostępniania danych na stronie BIP, udostępniania danych w korespondencji e-mailowej poprzez niezastosowanie opcji „UDW”, przetwarzania danych z wykorzystaniem monitoringu wizyjnego, przetwarzania danych w związku z windykacją, przetwarzania danych w celach marketingowych, minimalizacji danych dotyczących dziecka, przetwarzania przez banki informacji stanowiących tajemnicę bankową w celu oceny zdolności kredytowej, udostępniania przez banki danych innym podmiotom, przetwarzania danych na potrzeby wystawienia recept, udostępniania przez pracodawcę danych o stanie zdrowia osoby współpracownikom, przetwarzania przez pracodawcę danych biometrycznych, czy udostępniania nieprawdziwych danych w reklamach w mediach społecznościowych (tzw. deepfake – w ramach postępowań transgranicznych).

Naruszenia ochrony danych

W 2024 r. do UODO wpłynęło 14 842 zgłoszenia dotyczące naruszeń ochrony danych osobowych (to nieznaczny wzrost w stosunku do roku ubiegłego). Najwięcej dotyczyło sektora ubezpieczeniowego, najmniej sektora szkolnictwa wyższego i oświaty.

Wśród najczęściej zgłaszanych przez administratorów danych naruszeń były m.in. błędne zaadresowania korespondencji, udostępnianie danych niewłaściwej osobie, nieprawidłowa anonimizacja danych, zagubienie korespondencji, nieuprawniony dostęp do baz danych, kradzież nośnika danych.

W roku 2024 organ nadzorczy zaopiniował 779 aktów prawnych. Niezwykle ważnym aspektem opiniowania było dla Prezesa UODO uwzględnienie kontekstu ochrony danych osobowych już na etapie prac legislacyjnych, szczególnie jeśli chodzi o ocenę skutków dla ochrony danych.

Jeśli chodzi o uwagi zgłaszane przez Prezesa UODO do długoletnich strategii państwa, to należy wymienić przede wszystkim te odnoszące się do Strategii Cyfryzacji Polski do 2035 r.

W tekście dokumentu poruszona również zostaje kwestia systematycznego rozszerzania kompetencji Prezesa UODO, m.in. w związku ze stosowaniem regulacji w zakresie Aktu o sztucznej inteligencji, z projektowaną ustawą o zarządzaniu danymi, projektowaną zmianą ustawy o systemie cyberbezpieczeństwa kraju oraz z systemem wyjazdu/wyjazdu EES obywateli państw trzecich przekraczających granice państw członkowskich UE, a także w związku z utworzeniem Europejskiej przestrzeni danych dotyczących zdrowia (EHDS).

Pytania i współpraca z IODami

Jak wynika ze sprawozdania, w 2024 r. administratorzy oraz osoby fizyczne skierowali do Urzędu Ochrony Danych Osobowych 1920 pism z pytaniami prawnymi, zaś 233 pisma wpłynęły od inspektorów ochrony danych. Ponadto do Prezesa UODO wpłynęło 61 zapytań organów nadzorczych z innych państw. W sumie do UODO wpłynęło 2214 pytań prawnych. To więcej niż w dwóch poprzednich latach.

Wiele zapytań skupiało się na takich zagadnieniach jak pobieranie danych biometrycznych, stosowanie monitoringu wizyjnego, przekazywanie danych medycznych, przetwarzanie danych w związku z prowadzeniem działalności gospodarczej, przekazywanie danych w związku z ochroną nieletnich w szkołach, uwierzytelnianie użytkownika przy dostępie do ksiąg wieczystych w systemie teleinformatycznym, określanie statusu IOD-ów w kontekście zgłoszeń dot. sygnalistów.

Wystąpienia Prezesa UODO

W sprawozdaniu wskazano, że w 2024 r. Prezes UODO wystosował 11 wystąpień z określonymi wnioskami do różnych podmiotów. Były to m.in. wystąpienia do Ministra Cyfryzacji o podjęcie prac legislacyjnych prowadzących do zmiany przepisów ustawy o usługach zaufania oraz identyfikacji elektronicznej, do Ministra Finansów w sprawie nowelizacji ustawy o Krajowej Administracji Skarbowej w związku ze zbyt szerokimi i za bardzo ogólnie określonymi uprawnieniami KAS dotyczącymi dostępu do danych obywateli, do Ministra Cyfryzacji z wnioskiem o zainicjowanie korekty ustawy o doręczeniach elektronicznych, do Ministra Sprawiedliwości z wnioskiem o dostosowanie ustawy o ochronie małoletnich do zasad ochrony danych osobowych.

Inne niezwykle ważne wystąpienie o charakterze systemowym Prezes UODO skierował do Ministra do spraw Unii Europejskiej. Zostało ono przygotowane z racji tego, że w ocenie organu nadzorczego nie wszystkie wyroki TSUE i wnioski z nich wynikające zostały odpowiednio uwzględnione w prawie krajowym.

UODO edukuje

Jeśli chodzi o działalność edukacyjną Urzędu, dokument wymienia m.in. obchody XVIII Dnia Ochrony Danych Osobowych, współpracę ze Społecznym Zespołem Ekspertów przy Prezesie UODO (ciało doradcze powołane w czerwcu 2024), współpracę z Ministrem Edukacji przy wprowadzaniu przedmiotu szkolnego edukacja zdrowotna (w kontekście wiedzy o cyfryzacji), kontynuację programu „Twoje dane – Twoja sprawa”, wydanie wraz z Fundacją Orange poradnika dot. ochrony wizerunku dzieci, Nagrodę im. Michała Serzyckiego, cykl seminariów organizowanych wraz z Zakładem Ubezpieczeń Społecznych, konferencje dotyczące ochrony danych w kontekście nowych technologii i sztucznej inteligencji, seminaria i wykłady eksperckie, akcję „UODO rusza w kraj” (rozpoczęta we wrześniu 2024) czy udział w Pol’and’Rock Festival.

Aktywność w mediach

W 2024 r. zostało opublikowanych na stronie internetowej UODO 228 komunikatów; udzielonych zostało 164 odpowiedzi na pytania od dziennikarzy. Prezes UODO i jego przedstawiciele udzielili 19 wywiadów dla prasy, radia i telewizji.

W sprawozdaniu wyszczególniono, że w 2024 r. informacje w mediach dotyczące Prezesa UODO były publikowane 22 797 razy. Najwięcej materiałów na jego temat pojawiło się w mediach internetowych – stanowiły one 90,4 proc. wszystkich publikacji.

W odniesieniu do UODO odnotowano 15 542 informacje.

Na profilu Urzędu na portalu X opublikowano 550 wpisów UODO, i jest to najlepszy wynik w porównaniu z dwoma ostatnimi latami. Na profilu LinkedIn zaś pierwszy wpis UODO pojawił się w marcu 2024 r. W sumie w 2024 r. na LinkedIn zostało opublikowanych 41 wpisów.

Współpraca międzynarodowa

Do zadań Prezesa UODO należy współpraca z organami nadzorczymi innych państw członkowskich UE, w szczególności w ramach działań Europejskiej Rady Ochrony Danych RODO, ustanowionej przepisami RODO, do której należy Prezes UODO.

W ramach działalności międzynarodowej Prezes UODO lub jego przedstawiciele uczestniczylim.in. w Spotkaniu Grupy Organów Ochrony Danych Osobowych Państw Europy Środkowej i Wschodniej (CEEDPA), Wiosennej Konferencji Europejskich Organów Ochrony Danych, międzynarodowej konferencji High Level Policy Dialogue on Data Governance; Prezes UODO wziął brał udział w spotkaniach Sieci Rzeczników, informującej o działaniach Europejskiej Rady Ochrony Danych.

Urząd uczestniczył również w 2024 r. w opracowaniu jednej wytycznej i trzech opinii wydanych przez EROD.

Za jedną ze swoich najważniejszych działalności na polu międzynarodowym UODO uznaje także uczestniczenie w skoordynowanym nadzorze nad wielkoskalowymi systemami informatycznymi.

Intensywne działania Prezesa UODO w 2024 roku, które były podejmowane w wielu obszarach i w różnych formach miały służyć osiągnięciu m.in. takich celów, jak: przyjmowanie w krajowym porządku prawnym przepisów prawa w jak największym stopniu uwzględniających standardy ochrony danych osobowych, szanujących prawa podstawowe, w tym prawo do prywatności oraz prawo do autonomii informacyjnej obywateli, podnoszenie poziomu świadomości podmiotów danych, administratorów i podmiotów przetwarzających oraz wspierających ich IOD, zapewnianie właściwego funkcjonowania inspektora ochrony danych w zakresie wykonywania przez niego zadań. Działania zachęcały także do tworzenia kodeksów postępowania i wspieranie inicjatyw pracujących nad stworzeniem takich dokumentów.

Identyfikacja aktualnych problemów

W sprawozdaniu zwrócono uwagę na obserwowaną od wielu lat - mimo wielu pozytywnych zmian w procesie legislacyjnym w tym zakresie - tendencję pomijania Prezesa UODO przez niektóre organy publiczne w procesie uzgodnień i opiniowania projektów aktów normatywnych dotyczących przetwarzania danych osobowych lub zawierających regulacje w tym zakresie. Jest to nie tylko zaniechanie stanowiące naruszenie obowiązujących przepisów, ale także utrata okazji do eksperckiego wsparcia projektodawcy przez organ nadzorczy na jak najwcześniejszym etapie procesu legislacyjnego. Angażowanie organu dopiero podczas prac Rządowego Centrum Legislacji i komisji prawniczej należy, niestety, ocenić negatywnie, gdyż jest to zbyt późny moment na dokonywanie ustaleń merytorycznych. Ma to negatywny wpływ na proces prawodawczy.

Podobnym problemem w opinii Prezesa Urzędu pozostaje brak prawidłowej identyfikacji materii danych osobowych w procesie legislacyjnym. W sprawozdaniu wskazano, że projektodawca na samym początku prowadzonych analiz i prac koncepcyjnych powinien rozważyć, jakie skutki w obszarze prywatności i przetwarzania zindywidualizowanych informacji o osobach wywrze ich wdrożenie. Dlatego tak ważnym działaniem podjętym przez Prezesa UODO w obszarze legislacji było rozpoczęcie budowy partnerstw strategicznych w tej sferze. Na początku 2025 r. podpisane zostały dwa porozumienia o współpracy – z Rządowym Centrum Legislacji oraz z Polskim Towarzystwem Legislacji, w ramach których prowadzono szkolenia i spotkania dotyczące problematyki ochrony prywatności w legislacji.

Prezes UODO, podsumowując rok 2024, stwierdza też, że zasadniczą kwestią do rozwiązania pozostaje brak przeprowadzenia przez ustawodawcę gruntownego przeglądu obecnie obowiązujących przepisów pod względem konieczności ich dostosowania do standardów rozporządzenia 2016/679 (RODO), ale również dyrektywy 2016/680 (tzw. dyrektywa policyjna). W obiegu prawnym pozostają bowiem regulacje, które nie zostały dostosowane do wymogów stawianych przez wymienione akty unijne.

Zdaniem Mirosława Wróblewskiego, prezesa UODO, sprawozdanie z działalności organu do spraw ochrony danych osobowych wraz z oceną stanu przestrzegania przepisów o ochronie danych stanowi najbardziej kompleksową informację o działaniu systemu ochrony danych osobowych w naszym kraju oraz organu nadzorczego właściwego w tym obszarze. Prezes UODO zauważa, że zwłaszcza lektura tych części sprawozdania, które odnoszą się do nowych technologii i związanych z tym wyzwań dla ochrony danych, będzie szczególnie ciekawa. Prezes UODO jednocześnie podkreśla, że sprawozdanie stanowi znakomitą relację z realizacji przez organ nadzorczy priorytetów ochrony danych osobowych, jak i działań dotyczących wszystkich innych obszarów, w których ochrona ta jest niezbędna, stanowiąc cenne źródło informacji dla organów państwa, administratorów, inspektorów danych oraz wszystkich innych podmiotów ekosystemu danych, a także – co należy podkreślić – osób, których dane dotyczą. Rosnąca ilość skarg, która dociera do Prezesa UODO, wymaga szczególnego podkreślenia, gdyż wydaje się ona wskazywać nie tylko na rozliczne problemy związane z ochroną danych, lecz także na rosnącą świadomość obywateli i zaufanie społeczne do polskiego organu ochrony danych.

Całość sprawozdania dostępna jest pod linkiem: https://uodo.gov.pl/pl/487/2279