W dniu 7 lipca 2016 r. na 22. posiedzeniu Sejmu RP, Generalny Inspektor Ochrony Danych Osobowych, dr Edyta Bielak-Jomaa, przedstawiła sprawozdanie ze swojej działalności za lata 2014 i 2015 wraz z wnioskami wynikającymi ze stanu przestrzegania przepisów o ochronie danych osobowych.
W sprawozdaniu zaznaczono, że w dniu 1 stycznia 2015 r. weszły w życie, zmiany przepisów ustawy z dnia 29 sierpnia 1997 r.
„Zmiany te dotyczyły funkcjonowania administratora bezpieczeństwa informacji oraz zwolnienia z obowiązku uzyskania zgody GIODO na przekazywanie danych osobowych do państwa trzeciego, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych, gdy ich przekazywanie odbywa się na podstawie standardowych klauzul umownych albo wiążących reguł korporacyjnych (nowe przepisy wprowadzają w polskim porządku prawnym instytucję wiążących reguł korporacyjnych oraz określają tryb ich zatwierdzenia przez GIODO)” – podano w sprawozdaniu.
Przyjęte rozwiązania, niezależnie od ich celu deregulacyjnego, miały również na celu przygotowanie administratorów danych do unormowań ogólnego rozporządzenia o ochronie danych stanowiącego część pakietu reform planowanych w UE w obszarze ochrony danych osobowych.
W sprawozdaniu GIODO omówiło miedzy innymi wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych w 2015 r.
Jak wynika ze sprawozdania, w 2015 r. w sektorze ubezpieczeń społecznych, majątkowych i zdrowotnych liczba skarg kierowanych do Generalnego Inspektora była nieznacznie mniejsza niż w roku poprzednim. Do biura GIODO wpłynęło 55 skarg – dla porównania w 2014 r. było ich 63. Skargi dotyczyły głównie nieprawidłowości w procesie przetwarzania danych osobowych, polegające m. in. na przesyłaniu przez towarzystwa ubezpieczeń dokumentów dotyczących umowy ubezpieczenia osobom nieupoważnionym.
W sprawozdaniu przedstawiono przykład postępowania prowadzonego w 2015 r. przez GIODO zakończonego wydaniem decyzji administracyjnej w sprawie nieprawidłowości w procesie przetwarzania danych osobowych Skarżącego przez towarzystwo ubezpieczeń, w tym na udostępnienie jego danych osobowych osobom nieupoważnionym oraz niespełnienie wobec niego obowiązku informacyjnego wynikającego z art. 24 i 33 ustawy o ochronie danych osobowych.
W toku postępowania dokonano ustaleń, iż pracownik towarzystwa ubezpieczeń nie dokonał weryfikacji adresu email klienta przed wysłaniem jego dokumentów ubezpieczenia. W związku z powyższym, dokumenty te zostały wysłane na adres email agenta ubezpieczeniowego, za pośrednictwem którego zawierana była jedna z poprzednich umów ubezpieczenia. W niniejszej sprawie ww. agent, na rzecz którego udostępnione zostały dane osobowe, nie był agentem, z którym Skarżący tę umowę zawierał, a więc w odniesieniu do tej konkretnej sytuacji nie był on osobą upoważnioną do przetwarzania tych danych osobowych. Jednocześnie z uwagi na fakt, iż zdarzenie to było działaniem jednorazowym i działania takie nie były już kontynuowane, Generalny Inspektor Ochrony Danych Osobowych odmówił uwzględnienia wniosku. Ponadto korzystając z uprawnienia przyznanego w art. 19 a ustawy, GIODO zwrócił się do prezesa zarządu towarzystwa ubezpieczeń o respektowanie przepisów o ochronie danych osobowych.
Sprawozdanie dostępne pod adresem: http://www.giodo.gov.pl/541/id_art/2685/j/pl/