Baza wiedzy

Znamy już roczny plan kontroli Prezesa UODO,  zgodnie z zatwierdzonym planem kontroli sektorowych. W 2019 roku UODO zweryfikuje przetwarzanie danych osobowych w takich obszarach, jak:

  • telemarketing,
  • profilowanie w sektorze bankowym i ubezpieczeniowym
  • czy system identyfikacji i monitoringu odpadów.

Więcej informacji na temat dostępne jest na stronie https://uodo.gov.pl/p/kontrole.

Jak wygląda kontrola UODO?

 

1.Organ UODO może, ale nie musi zawiadomić o planowanej kontroli. Niemniej jednak kontrolowany może otrzymać informację o kontroli zawierającą m.in.  termin i przedmiot kontroli.

 

Z wieloletniej praktyki Security Partners wynika, że moment, w którym firmy uświadamiają sobie konsekwencje niewdrożenia procedur ochrony danych osobowych nadchodzi za późno, czyli w momencie, gdy UODO decyduję się na kontrolę doraźną. W związku z tym przyczyną tego typu kontroli  UODO jest najczęściej zgłoszenie lub informacja o możliwości popełnienia przestępstwa z tytułu zaniedbań w ochronie danych osobowych. W przeciwieństwie do tego istnieją także kontrole planowe wynikającą z planu kontroli Prezesa UODO. Z uwagi na to, że świadomość społeczna w zakresie ochrony prywatności rośnie z roku na rok, to doniesienia do UODO o nadużyciach w zakresie ochrony danych osobowych są coraz powszechniejsze.

 

Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. W rezultacie danymi osobowymi będą, zatem zarówno takie dane, które pozwalają na określenie tożsamości konkretnej osoby. Jak i takie, które nie pozwalają na jej natychmiastową identyfikację, bo są, przy pewnym nakładzie kosztów, czasu i działań, wystarczające do jej ustalenia. W związku z tym przetwarzanie danych osobowych to wykonywanie jakichkolwiek operacji na danych osobowych. Operacje te to np. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie,  a  zwłaszcza te, które wykonuje się w systemach informatycznych.

 

2. Kontrola UODO –  dokumentacja.

Po pierwsze warunkiem podstawowym i koniecznym przejścia z wynikiem pozytywnym przez taką kontrolę UODO jest zgodność wszystkich procesów przetwarzania danych osobowych z przepisami prawa. W zależności od wielkości przedsiębiorstwa i liczby procesów związanych z przetwarzaniem danych osobowych, nie da się wprowadzić takich zmian przed sama kontrolą. Szczególnie nie polecamy zakupu dokumentacji „z Internetu”, ponieważ co ważne tworzona jest z myślą o jak najszerszym kręgu odbiorców, bo najczęściej w ogóle nie przystaje do procesów przetwarzania danych osobowych w firmie. Tego typu dokumentacja w konsekwencji nie uchroni Cię przed występującymi zagrożeniami utraty lub wycieku danych lub ewentualną karą nałożoną przez Prezesa UODO.

 

Dokumenty i procedury, które może weryfikować inspektor UODO to m.in.:

  1. Rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania (art. 30 RODO)
  2. Procedura klasyfikacji i zgłaszania naruszenia ochrony danych do organu nadzorczego (art. 33 ust 3 RODO)
  3. Procedura na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób. W zakresie ich informowania o działaniach, jakie powinni wykonać, aby ryzyko to ograniczyć (art. 34 RODO)
  4. Rejestr naruszeń ochrony danych (art. 33 ust. 5 RODO)
  5. Raport z oceny skutków dla ochrony danych (art. 35 ust. 7 RODO)
  6. Procedury związane z pseudonimującą i szyfrowaniem
  7. Plan ciągłości działania (art. 32 ust 1 pkt b RODO)
  8. Procedury odtwarzania systemu po awarii, oraz ich testowania (art. 32 ust 1 pkt c i d RODO)
  9. Umowy powierzenia przetwarzania danych (art. 28, art. 29 RODO)
  10. Upoważnienie do przetwarzania danych osobowych dla pracowników /współpracowników (art. 29 RODO)
  11. Oświadczenie o zachowaniu w poufności danych osobowych
  12. Dokumenty dotyczące monitoringu wizyjnego lub innych form monitorowania (art. 222 Kodeksu pracy).

 

Przy każdej kontroli UODO dokładnie weryfikowana jest dokumentacja papierowa – sprawdzane procedury zabezpieczania danych osobowych i procedury przydzielania dostępu do ich przetwarzania. Następnie weryfikowany jest cel przetwarzania poszczególnych danych oraz to, czy ich zakres nie jest zbyt szeroki w stosunku do potrzeb. Kontrolowane są także umowy powierzenia i podpowierzania danych osobowych. Informatyk UODO może sprawdzić stan zabezpieczenia systemów informatycznych, w których przetwarza się dane osobowe.

 

Uprawnienie Kontrolującego UODO

Po wcześniejszym przedstawieniu upoważnienia do kontroli UODO i legitymacji służbowej, kontrolujący ma prawo do:

  1. Wstępu na grunt oraz do budynków, lokali lub innych pomieszczeń, w godzinach od 600 do 2200
  2. Wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli,
  3. Przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych,
  4. Żądania złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego;
  5. Zlecania sporządzanie ekspertyz i opinii;

Rejestracji czynności kontrolnych w formie nagrań. Zaś podmiot kontrolowany ma również obowiązek potwierdzenia za zgodność z oryginałem kopii dokumentów, które zostaną sporządzone w ramach kontroli.

 

Każdy kontroler przed rozpoczęciem kontroli powinien okazać imienne upoważnienie wraz z legitymacją służbową. Jeżeli nie jesteś pewien czy nie natrafiłeś na oszustów, a tak też się zdarza, posiadasz również prawo do weryfikacji uprawnień kontrolerów. Aby to zrobić możesz skontaktować się telefonicznie z UODO. W celu potwierdzenia, że osoba kontrolująca jest rzeczywiście pracownikiem Urzędu uprawnionym do przeprowadzenia kontroli.

 

3. Kontrola UODO – Przygotowanie i przekazanie protokółu z przeprowadzonej kontroli

Po odbytej kontroli zostaje sporządzony protokół w dwóch egzemplarzach w formie elektronicznej lub papierowej. Protokół zawiera informację z przeprowadzonej kontroli, podpisany dokument przez kontrolera przekazany jest kontrolowanemu do przeczytania i podpisania (art. 88 ust. 3 ustawy o ochronie danych osobowych). Ponadto jeżeli zostały zgłoszone zastrzeżenia, co do kontroli zostają one rozpatrzone przez kontrolowanego. Jeżeli istnieje taka potrzeba kontrolujący podejmuje dodatkową analizę lub czynności kontrolne.  W przypadku, gdy kontroler stwierdzi zasadności zastrzeżeń to zmienia lub uzupełnia część protokołu w formie aneksu. Natomiast w przypadku, gdy kontroler uzna zastrzeżenia tylko po części lub nie uzna ich wcale, to przekazuje kontrolowanemu informacje o tym wraz z uzasadnieniem.

 

Masz 7 dni na podpisanie protokołu lub, zgłoszenia pisemnych zastrzeżeń, co do treści protokołu. Podpisany protokół lub ewentualne zastrzeżenia (forma pisemna) przekaż kontrolującemu. Brak wyżej wymienionych działań w terminie 7 dni jest uznane, jako odmowa podpisania protokołu.

 

4.Kontrola UODO i sprawdzenie przez Prezesa UODO czy doszło do naruszenia przepisów

Po odbytej kontroli, jeżeli kontroler uznał, że zostały naruszone przepisy o ochronie danych osobowych to Prezes UODO niezwłocznie wszczyna postępowanie. W takim przypadku nie możesz już nic zrobić.

 

Z uwagi na to, że dane osobowe są wykorzystywane niemal w każdym aspekcie działalności podmiotów gospodarczych. To  spektrum działania kontrolerów może być niezwykle szerokie. A w związku z tym kary za brak przestrzegania przepisów  w konsekwencji bardzo wysokie.

 

Chcesz sprawdzić zgodność procesów z wymaganiami przepisów prawa w tym RODO /GDPR wykonaj Audyt Danych Osobowych