Urząd Ochrony Danych Osobowych przyjął nowy plan kontroli sektorowych na bieżący rok. Kogo obejmą kontrole i co zostanie wzięte pod lupę?

W obszarze zainteresowania urzędu znalazły się:

  1. przetwarzanie danych osobowych w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym,
  2. przetwarzanie danych osobowych przy użyciu aplikacji internetowych (webowych),
  3. spełnienie obowiązku informacyjnego.

Szczególnie istotne dla przedsiębiorców będą kontrole aplikacji oraz obowiązków informacyjnych.

 

Kontrola aplikacji internetowych– kogo dotyczy?

Urząd już od kilku lat kontynuuje przeprowadzanie kontroli w sektorze aplikacji (webowych / mobilnych itp.). W obecnym roku weźmie pod uwagę w szczególności sposób zabezpieczenia i udostępnienia danych osobowych przetwarzanych w związku z użytkowaniem aplikacji.

Kontrola może objąć nie tylko podmioty tworzące aplikacje lub świadczące usługi ich wdrażania (np. on premise). Może ona zostać przeprowadzona również w podmiotach, które w ramach swojej działalności umożliwiają korzystanie z aplikacji webowych np. w ramach programów lojalnościowych.

 

Aplikacja – RODO „action plan”

Pamiętajmy, że wprowadzenie aplikacji już na etapie planowania powinno uwzględniać ochronę danych (w tym zasadę privacy by design). Aplikacja, jako nowy proces przetwarzania, wymaga odpowiedniego wdrożenia, w szczególności:

  • przeprowadzenia analizy ryzyka i często DPIA – celem określenia, czy zastosowane środki zabezpieczające są adekwatne do stwierdzonych ryzyk,
  • zbudowania komunikatów dla użytkowników – w tym klauzul informacyjnych oraz zgód,
  • uwzględnienia procesu w rejestrze czynności,
  • weryfikacji podmiotu przetwarzającego oraz zawarcia umowy powierzenia (jeśli aplikacja została wdrożona przez podmiot zewnętrzny).

 

Obowiązek informacyjny – na co uważać?

Urząd będzie również weryfikował prawidłowość spełniania obowiązku informacyjnego wobec podmiotów danych przez podmioty prywatne. Weryfikacji mogą podlegać informacje i komunikaty:

  • stosowane „wewnętrznie”, w tym przekazywane kandydatom do pracy i pracownikom,
  • widoczne „na zewnątrz”, w tym informacje dla kontrahentów czy klientów. Niewykluczone, że wstępną kontrolą zostaną objęte również informacje wyświetlane na stronach internetowych lub w aplikacjach.

W świetle ostatniego głośnego wyroku NSA – weryfikacji może podlegać także spełnianie obowiązku informacyjnego wobec osób, których dane zostały pozyskane z publicznych rejestrów (np. KRS, CEIDG) czy stron internetowych.

 

Bieżący RODO-compliance

Przedstawiony zakres kontroli sektorowych stanowi wyłącznie ogólne wytyczne dotyczące obszarów pozostających w szczególnym zainteresowaniu urzędu w 2024 roku. Niezależnie, urząd standardowo podejmuje kontrole, kierując się między innymi skargami podmiotów danych lub zgłoszonymi naruszeniami ochrony danych osobowych.

Pamiętajmy, że zapewnienie bezpieczeństwa danych osobowych to proces ciągły, a wobec wysokich kar finansowych warto dbać o compliance w obszarze ochrony danych osobowych – przez cały rok.

 

Zachęcamy do przeanalizowania działań podejmowanych w tych obszarach oraz ich zgodności z aktualnymi wytycznymi organów nadzorczych. Chętnie pomożemy zweryfikować, czy podejmowane działania są poprawne i wystarczające, biorąc pod uwagę zarówno wymogi RODO, jak i wytyczne europejskich oraz krajowych organów nadzorczych.