Plan kontroli UODO na 2025 rok – na czym skupią się kontrolerzy?

1 miesiąc temu

Urząd Ochrony Danych Osobowych przyjął plan kontroli sektorowych na bieżący rok. Kontrolami mogą być objęci:

  1. wszyscy administratorzy danych – w zakresie dokumentowania naruszeń ochrony danych osobowych;
  2. podmioty, które przetwarzają dane dzieci – w zakresie przetwarzania wizerunku dzieci, gdy wymagana jest zgoda wyrażona przez rodziców lub opiekunów prawnych;
  3. podmioty, które przetwarzają dane o stanie zdrowia;
  4. organy, które przetwarzają dane osobowe w Wielkoskalowych Systemach Unii Europejskiej.

Co to oznacza i jak nie popełnić błędu przetwarzając dane w tych obszarach?

Obowiązek dokumentowania naruszeń ochrony danych

W tym zakresie kontrola może objąć każdego administratora danych osobowych. UODO szczególną uwagę poświęci weryfikacji przestrzegania obowiązków związanych z naruszeniami ochrony danych osobowych. W ramach kontroli sprawdzane może być m.in. prowadzenie wewnętrznego rejestru naruszeń oraz zawartych w nim informacji, takich jak poziom naruszenia praw i wolności osób, których dane dotyczą.

Przypomnijmy – każdy administrator danych ma obowiązek dokumentowania okoliczności zaistniałego naruszenia ochrony danych osobowych, jego skutków oraz podjętych działań zaradczych. Zakres tych informacji powinien umożliwić urzędowi ocenę schematy działań administratora, w tym ewentualnie uzasadniać odstąpienie od zawiadomienia urzędu o naruszeniu lub odstąpienie od zawiadomienia podmiotów danych objętych naruszeniem.

Uwaga! Brak rejestru naruszeń ochrony danych lub pusty rejestr może zwiększyć zainteresowanie urzędu. W przypadku większych podmiotów, może to budzić wątpliwość, jakoby administrator bagatelizował zaistniałe zdarzenia lub nieprawidłowo kwalifikował je jako mało ryzykowne – i w konsekwencji nie realizował obowiązków związanych z wystąpieniem naruszenia ochrony danych.

Przetwarzanie danych dzieci – jakie obszary mogą podlegać kontroli?

Większe szanse na objęcie kontrolą będą miały podmioty przetwarzające dane osobowe dzieci w postaci ich wizerunku, w sytuacjach wymagających wyrażenia na to zgody rodzica lub opiekuna prawnego. Dotyczyć to będzie m.in. podmiotów organizujących konkursy czy inne wydarzenia dla dzieci. Jak zadbać o RODO-compliance w tym obszarze?

UODO może weryfikować:

  1. Dokumentację wewnętrzną, w tym m.in. analizy ryzyka (oraz DPIA, jeżeli będzie wymagane).
  2. Informacje i komunikaty zewnętrzne, w tym klauzule informacyjne czy regulaminy.
  3. Sposób pozyskiwania zgody rodziców lub opiekunów prawnych (uwaga na zapewnienie rozliczalności, czyli możliwości wykazania posiadania zgody pozyskanej zgodnie z obowiązującymi przepisami!).
  4. Sposób wykorzystania wizerunku dzieci (np. publikacja w mediach społecznościowych).
  5. Retencję (usunięcie danych po uzasadnionym okresie ich przechowywania).

Niewykluczone, iż wstępną kontrolą zostaną objęte informacje wyświetlane na stronach internetowych lub w mediach społecznościowych (np. ogłoszenie o organizacji konkursu). Negatywne pierwsze wrażenie może zachęcić kontrolujących do dalszych pytań.

Dane o stanie zdrowia – jakie podmioty mogą zostać objęte kontrolą?

Ten sektor kontroli dotyczyć będzie nie tylko placówek medycznych. Do podmiotów przetwarzających dane o stanie zdrowia można zaliczyć w zasadzie każdego pracodawcę – otrzymuje on m.in. informacje o wynikach badań medycyny pracy, L4 czy niepełnosprawności.

Przegląd danych o niepełnosprawności

W zeszłym roku upłynął termin na przeprowadzenie pierwszego obowiązkowego przeglądu przydatności danych o niepełnosprawności przetwarzanych dla realizacji celów ustawy o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych. To dobry moment dla UODO na sprawdzenie, czy pracodawcy przeprowadzili i prawidłowo udokumentowali przegląd (np. w formie protokołu). Więcej informacji o tym obowiązku można znaleźć na naszym blogu.

Kontrole trzeźwości

Warto również zwrócić uwagę na kontrole trzeźwości. Wiele podmiotów zdecydowało się na jej wprowadzenie po nowelizacji kodeksu pracy w 2023 roku. Bardzo ważne jest zabezpieczenie tego procesu z perspektywy ochrony danych osobowych, w tym opracowanie niezbędnych dokumentów, takich jak klauzule informacyjne czy przeprowadzenie analiz. jeżeli pomimo wprowadzenia kontroli trzeźwości takie działania nie były dotychczas zrealizowane – warto zabezpieczyć ten proces niezwłocznie.

RODO-compliance na bieżąco

Wyznaczony plan kontroli sektorowych określa wyłącznie obszary pozostające w szczególnym zainteresowaniu UODO. Nie można jednak zapominać, iż urząd może niezależnie podejmować kontrole w innych obszarach – z własnej inicjatywy lub np. po otrzymaniu skargi podmiotu danych.

Początek roku to dobry czas na przeanalizowanie RODO-compliance w organizacji. W razie potrzeby wsparcia w tym obszarze – zapraszamy do kontaktu.

Idź do oryginalnego materiału
  1. Strona główna
  2. RODO i dane osobowe
  3. Plan kontroli UODO na 2025 rok – na czym skupią się kontrolerzy?

Powiązane

Jego skrzynkę zalewały maile z reklamami. Postanowił walczyć. "Wystarczyły 2-3 maile"

Jego skrzynkę zalewały maile z reklamami. Postanowił walczyć...

17 godzin temu
Ochrona danych osobowych pacjentek a działania prokuratury – stanowisko Prezesa UODO

Ochrona danych osobowych pacjentek a działania prokuratury –...

20 godzin temu
To nie mail od ZUS. Uważaj, w co klikasz

To nie mail od ZUS. Uważaj, w co klikasz

1 dzień temu
RODO na stronie internetowej - co musisz wiedzieć?

RODO na stronie internetowej - co musisz wiedzieć?

1 dzień temu
Ważne zmiany dotyczące biletów okresowych w transporcie publicznym. Co będzie z kartami miejskimi i biletami okresowymi?

Ważne zmiany dotyczące biletów okresowych w transporcie publ...

1 dzień temu
Na co uważać, wystawiając i wydając świadectwo pracy?

Na co uważać, wystawiając i wydając świadectwo pracy?

2 dni temu
Zmiana nazwiska a wpis do księgi wieczystej

Zmiana nazwiska a wpis do księgi wieczystej

2 dni temu
Nowe regulacje DORA wyzwaniem dla sektora finansowego – raporty muszą trafić do KNF do końca kwietnia

Nowe regulacje DORA wyzwaniem dla sektora finansowego – rapo...

2 dni temu
Kolejny projekt ustawy implementującej dyrektywę NIS 2 – nowe wymagania regulacyjne coraz bliżej

Kolejny projekt ustawy implementującej dyrektywę NIS 2 – now...

2 dni temu