9 miesięcy temu
Urząd Ochrony Danych Osobowych przyjął nowy plan kontroli sektorowych na bieżący rok. Kogo obejmą kontrole i co zostanie wzięte pod lupę?
W obszarze zainteresowania urzędu znalazły się:
- przetwarzanie danych osobowych w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym,
- przetwarzanie danych osobowych przy użyciu aplikacji internetowych (webowych),
- spełnienie obowiązku informacyjnego.
Szczególnie istotne dla przedsiębiorców będą kontrole aplikacji oraz obowiązków informacyjnych.
Kontrola aplikacji internetowych– kogo dotyczy?
Urząd już od kilku lat kontynuuje przeprowadzanie kontroli w sektorze aplikacji (webowych / mobilnych itp.). W obecnym roku weźmie pod uwagę w szczególności sposób zabezpieczenia i udostępnienia danych osobowych przetwarzanych w związku z użytkowaniem aplikacji.
Kontrola może objąć nie tylko podmioty tworzące aplikacje lub świadczące usługi ich wdrażania (np. on premise). Może ona zostać przeprowadzona również w podmiotach, które w ramach swojej działalności umożliwiają korzystanie z aplikacji webowych np. w ramach programów lojalnościowych.
Aplikacja – RODO „action plan”
Pamiętajmy, iż wprowadzenie aplikacji już na etapie planowania powinno uwzględniać ochronę danych (w tym zasadę privacy by design). Aplikacja, jako nowy proces przetwarzania, wymaga odpowiedniego wdrożenia, w szczególności:
- przeprowadzenia analizy ryzyka i często DPIA – celem określenia, czy zastosowane środki zabezpieczające są adekwatne do stwierdzonych ryzyk,
- zbudowania komunikatów dla użytkowników – w tym klauzul informacyjnych oraz zgód,
- uwzględnienia procesu w rejestrze czynności,
- weryfikacji podmiotu przetwarzającego oraz zawarcia umowy powierzenia (jeśli aplikacja została wdrożona przez podmiot zewnętrzny).
Obowiązek informacyjny – na co uważać?
Urząd będzie również weryfikował prawidłowość spełniania obowiązku informacyjnego wobec podmiotów danych przez podmioty prywatne. Weryfikacji mogą podlegać informacje i komunikaty:
- stosowane „wewnętrznie”, w tym przekazywane kandydatom do pracy i pracownikom,
- widoczne „na zewnątrz”, w tym informacje dla kontrahentów czy klientów. Niewykluczone, iż wstępną kontrolą zostaną objęte również informacje wyświetlane na stronach internetowych lub w aplikacjach.
W świetle ostatniego głośnego wyroku NSA – weryfikacji może podlegać także spełnianie obowiązku informacyjnego wobec osób, których dane zostały pozyskane z publicznych rejestrów (np. KRS, CEIDG) czy stron internetowych.
Bieżący RODO-compliance
Przedstawiony zakres kontroli sektorowych stanowi wyłącznie ogólne wytyczne dotyczące obszarów pozostających w szczególnym zainteresowaniu urzędu w 2024 roku. Niezależnie, urząd standardowo podejmuje kontrole, kierując się między innymi skargami podmiotów danych lub zgłoszonymi naruszeniami ochrony danych osobowych.
Pamiętajmy, iż zapewnienie bezpieczeństwa danych osobowych to proces ciągły, a wobec wysokich kar finansowych warto dbać o compliance w obszarze ochrony danych osobowych – przez cały rok.
Zachęcamy do przeanalizowania działań podejmowanych w tych obszarach oraz ich zgodności z aktualnymi wytycznymi organów nadzorczych. Chętnie pomożemy zweryfikować, czy podejmowane działania są poprawne i wystarczające, biorąc pod uwagę zarówno wymogi RODO, jak i wytyczne europejskich oraz krajowych organów nadzorczych.
