Prezes Urzędu Ochrony Danych Osobowych zatwierdził plan kontroli sektorowych na 2023 rok. Kto znalazł się na liście?

Kontroli podlegać będą:

• podmioty przetwarzające dane osobowe przy użyciu aplikacji mobilnych;

• podmioty przetwarzające dane osobowe przy użyciu aplikacji internetowych (webowych);

• organy przetwarzające dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym.

Jakich aspektów będą dotyczyć kontrole?

W przypadku pierwszych dwóch objętych kontrolą grup podmiotów PUODO weźmie pod lupę sposoby zabezpieczenia oraz udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji.

Jak przygotować się do kontroli?

Przygotowania do kontroli najlepiej rozpocząć od przeprowadzenia audytu zgodności, w ramach którego zweryfikowane zostanie przestrzeganie wewnętrznych procedur oraz polityk w zakresie ochrony danych osobowych. To również dobry moment na ich aktualizację. Nie wolno zapominać o przeglądzie prowadzonych rejestrów: RCP, RKCP, rejestru upoważnień, itd. Warto również przeprowadzić szkolenia przypominające dla personelu, zwłaszcza jeśli nie były przeprowadzane regularnie oraz wprowadzić harmonogram w tym zakresie. Ważny punkt stanowi przegląd, a najlepiej także testowanie stosowanych technicznych oraz organizacyjnych środków zabezpieczeń oraz analiza ryzyka. Z uwagi na zasadę rozliczalności wykonywane czynności należy udokumentować, np. sporządzając raporty.

Audyty, szkolenia, aktualizacja posiadanej dokumentacji powinny odbywać się regularnie. Warto o to zadbać przed ewentualną kontrolą, by nie narazić się m.in. na nałożenie kary administracyjnej. Decyzje dotyczące wymierzonych kar są publikowane przez PUODO i każdy może się zapoznać z ich treścią. Motywacją do podjęcia działań powinna być nie tylko chęć ich uniknięcia, ale również dbałość o dobrą reputację. Administratorzy danych nie powinni powierzać danych podmiotom, które nie dają gwarancji wdrożenia odpowiednich zabezpieczeń.

Czy kontrole odbywają się tylko na podstawie zatwierdzonego planu?

PUODO przeprowadza kontrolę przestrzegania przepisów o ochronie danych osobowych nie tylko zgodnie z zatwierdzonym planem kontroli, lecz również na podstawie uzyskanych przez niego informacji, np. o naruszeniach. Wszczęcie postępowania kontrolnego może nastąpić w wyniku rozpoznania skargi osoby, której dane dotyczą. W celu ustalenia, czy doszło do naruszenia przepisów RODO, PUODO może polecić przeprowadzenie kontroli u administratora lub podmiotu przetwarzającego.

Jakie uprawnienia naprawcze posiada PUODO?

PUODO może wydać ostrzeżenia dotyczące możliwości naruszenia przepisów RODO poprzez planowane operacje przetwarzania, udzielić upomnień, nakazać spełnienia żądania osoby, której dane dotyczą, nakazać dostosowanie operacji przetwarzania do przepisów RODO, wprowadzić ograniczenie, a nawet zakaz przetwarzania, wreszcie –  zastosować administracyjną karę pieniężną.