- blog

Sprawdź, czy w 2019 r, możesz spodziewać się kontroli w zakresie przetwarzania danych. Plan kontroli już opublikowany przez UODO.

Sprawdź, czy w 2019 r, możesz spodziewać się kontroli w zakresie przetwarzania danych. Plan kontroli już opublikowany przez UODO.

Ochrona Danych Osobowych, RODO

Autorzy: Katarzyna Kloc, Patrycja Naklicka

24 stycznia 2019 r. Urząd Ochrony Danych Osobowych („UODO”) opublikował na swojej stronie internetowej (https://uodo.gov.pl/pl/138/679) plan kontroli sektorowych przewidziany na bieżący rok. Urząd, przygotowując wyżej wskazany plan kierował się sygnałami z zewnątrz. Plan kontroli uwzględnia złożone skargi, pytania i zgłoszenia naruszeń ochrony danych osobowych, które dotychczas wpłynęły do UODO.

Pracownicy UODO przeprowadzą kontrole planowe w czterech sektorach: (1) publicznym, (2) prywatnym, (3) organów ściągania i sądów oraz (4) zdrowia, zatrudnienia oraz szkolnictwa.

Z analizy planu wynika, że w 2019 r. UODO skupi się m.in. na kontroli:

  • stosowania monitoringu wizyjnego zarówno w sektorze publicznym jak i w szkołach oraz przez pracodawców,
  • całego szeregu działań w sektorze publicznym, począwszy od prowadzenia przez podmioty Rejestru Czynności Przetwarzania Danych, dokumentowania naruszeń ochrony danych osobowych po wysyłkę korespondencji
  • organizacyjnych i technicznych środkach bezpieczeństwa przetwarzania danych
  • telemarketingu,
  • procesów rekrutacyjnych,
  • profilowania stosowanego przez banki i ubezpieczycieli
  • przetwarzania danych przez placówki medyczne.

Pamiętajmy, że Prezes Urzędu Ochrony Danych Osobowych przeprowadza kontrole na podstawie zatwierdzonego planu, jak również na podstawie uzyskanych informacji (np. donosów, publikacji o naruszeniu w Internecie) lub przeprowadzonych analiz (np. u naszego kontrahenta wystąpią duże nieprawidłowości). To, że nie znajdujemy się na pierwszej linii kontroli, nie zwalnia nas z obowiązku ciągłego monitorowania i utrzymywania zgodności z RODO.

Monitoring wizyjny.

Monitoring wizyjny przed 25 maja 2018 nie był objęty ogólną regulacją. W związku z tym, iż są to nowe przepisy wprowadzone tzw. nową ustawą o ochronie danych osobowych z 10 maja 2018 oraz monitorowanie stanowi inwazyjną formę przetwarzania danych, powstawało wiele wątpliwości i rozbieżności co do praktyki. Zaplanowane przez UODO kontrolę obejmą miejski monitoring wizyjny, jak również monitoring stosowany w szkołach oraz przez pracodawców.

Monitorowanie zgodnie z RODO stanowi wyzwanie dla organizacji. Największym problemem jest proporcjonalność przy stosowaniu monitoringu. Przedsiębiorcy obowiązani są również do odpowiedniego oznaczenia i informowania o przetwarzaniu danych pochodzących z monitoringu. UODO zdając sobie sprawę z trudności, jakie mogą wynikać z niejasnych interpretacji przepisów w zakresie monitoringu wizyjnego zadeklarował, że do 30 września 2018 r. nie będzie kontrolował tej formy przetwarzania danych. Co prawda proces dostosowania zasad monitoringu do nowych wymagań w wielu firmach może jeszcze trwać, ale wydaje się, że okres „ulgowy” powoli dobiega końca.

Kontrole w sektorze publicznym.

UODO zaplanował również kontrole w sektorze publicznym co do kilku aspektów przetwarzania danych przez podmioty publiczne. Przedmiotem kontroli będzie sposób i zakres prowadzenia Rejestru Czynności Przetwarzania Danych w sektorze publicznym, zatem badaniu poddana zostanie rozliczalność w praktyce. Na liście kontrolnej UODO znalazło się również prowadzenie i dokumentowanie naruszeń ochrony danych przez podmioty publiczne i kontrola systemu identyfikacji i monitoringu odpadów.

W zakresie bezpieczeństwa, skontrolowany zostanie sposób udostępniania danych w Biuletynie Informacji Publicznej oraz sposób wysyłania korespondencji, która zawiera dane osobowe. Spółdzielnie mieszkaniowe mogą spodziewać się kontroli w zakresie prowadzenia i zabezpieczenia rejestru członków.

Organy ścigania i sądy w 2019 roku zostaną skontrolowane przede wszystkim w zakresie stosowanych organizacyjnych i technicznych środków bezpieczeństwa, w tym stosowaniu zasady minimalizacji dostępu do danych wyłącznie dla osób upoważnionych.  Obecnie nie mamy listy wskazanych środków zabezpieczających jakie należy wdrożyć by gwarantować bezpieczeństwo przetwarzania danych osobowych. To administratorzy i podmioty przetwarzające muszę wykazać, że odpowiednio przeanalizowali i dobrali środki bezpieczeństwa zgodnie z zasadą risk based approach.

UODO przyjrzy się czy wykorzystywane zabezpieczenia i praktyki, m. in. przez Policję, Straż Graniczną czy Areszt Śledczy, zapewniają przetwarzanie danych zgodne z atrybutami bezpieczeństwa (czy dane zostały zabezpieczone przed nieuprawnionym odczytem, kopiowaniem, zmienianiem, zniszczeniem, lub usunięciem). Pod lupę również trafi sposób bezpiecznego usuwania nośników danych. Sektor organów ściągania i sądów zostanie również skontrolowany w zakresie realizacji obowiązków związanych z notyfikacją do UODO naruszeń ochrony danych.

Kontrolą zostaną objęte również podmioty uprawnione do systemów SIS/VIS pod kątem ochrony danych w zakresie realizacji zadań wynikających z przepisów prawa.

Procesy rekrutacyjne.

Lista kontroli obejmuje również przetwarzanie danych osobowych kandydatów do pracy. Przetwarzanie danych w procesach rekrutacyjnych jest zagadnieniem problematycznym mającym ogromne znaczenie praktyczne. Kodeks Pracy wprost wymienia rodzaje danych, których pracodawca może żądać od kandydatów do pracy. W praktyce jednak, CV przesyłane przez kandydatów a co za tym idzie zakres danych kandydatów do pracy, które przetwarzają przedsiębiorcy jest znacznie szerszy.

Telemarketing. Sektor prywatny skontrolowany zostanie w zakresie powszechnej praktyki telemarketingu. Zapewne, każdy z nas doświadczył uciążliwego nagabywnia przez przypadkowe numery, które oferują nam przeróżne produkty, usługi czy pozornie darmowe zaproszenia na eventy typu „prezentacja garnków”. Często firmy, które kontaktują się z osobami fizycznymi w celach marketingowych nie posiadają podstawy prawnej do takiego kontaktu (zgody na marketing bezpośredni wymaganej na gruncie prawa telekomunikacyjnego), czy nie spełniają podstawowych obowiązków informacyjnych wynikających z RODO. Zaplanowane kontrole zapewne mają zweryfikować zarówno legalność telemarketingowych baz danych jak i wywiązywanie się z obowiązku informacyjnego przez telekarmeterów.

Profilowanie przez bank i ubezpieczycieli. RODO wprowadziło legalną definicję profilowania i nałożyło na podmioty szereg obowiązków związanych z profilowaniem, takich jak obowiązek informacyjny, uwzględnienie profilowania w analizach ryzyka, czy zapewnienie podmiotom danych możliwości niepodlegania zautomatyzowanym decyzjom. Banki i ubezpieczyciele z uwagi na specyfikę swojej działalności, część działań opierają na profilowaniu. Badanie zdolności kredytowej danej osoby czy obliczenie wysokości składki ubezpieczeniowej wymaga profilowania. Podstawą prawną w takich wypadkach są przepisy prawa, jednak nadal banki i ubezpieczyciele muszą m.in. odpowiednio zabezpieczyć dane i poinformować osoby o przetwarzaniu danych.   Kontrola UODO w 2019 r. uwzględnia zgodność profilowania z RODO właśnie w sektorze bankowym i ubezpieczeniowym.

Placówki medyczne. Sektor ochrony zdrowia może zostać skontrolowany w zakresie prowadzenia dokumentacji medycznej, a w szczególności przetwarzania dokumentacji zgodnie z zasadami bezpieczeństwa jak również udostępniania danych tzw. medycznych. Placówki medyczne borykają się z problemem w jakich sytuacjach i w jaki sposób udostępniać dane dotyczące zdrowia. Doszło do całej masy tzw. „RODO absurdów”, takich jak np. czy można wzywać do gabinetu pacjentów po imieniu oraz czy można rodzicom dziecka poszkodowanego w wypadku udzielić informacji, czy dziecko znajduje się w danym szpitalu. Mamy nadzieję, że kontrola UODO po części doprowadzi do wyklarowania się dobrych praktyk w sektorze ochrony zdrowia i „RODO absurdów” w tym obszarze będzie coraz mniej.

Placówki medyczne będą również kontrolowane w zakresie realizacji praw osób, których dane przetwarzają, w tym prawa dostępu do danych medycznych. Placówki medyczne muszą również zwrócić uwagę na stosowane przez nie środki bezpieczeństwa, w tym realizację zasady identyfikacji, uwierzytelniania pracowników i zarządzaniem dostępem dla pracowników (za naruszenie zasad integralności, poufności i minimalizacji danych został ukarany szpital w portugali)[1].

Pełen plan kontroli na 2019 r. zatwierdzony przez Prezesa UODO opublikowany 24 stycznia 2019 r. znajduje się pod tym linkiem:

https://uodo.gov.pl/pl/138/679

Jeśli mają Państwo jakieś pytania związane z ochroną danych osobowych, zapraszamy do kontaktu z G&P. Nasi specjaliści z chęcią pomogą wyjaśnić Państwa wątpliwości.

Katarzyna Kloc

katarzyna.kloc@gppartners.pl 

 

Patrycja Naklicka

patrycja.naklicka@gppartners.pl

 

Maciej Gawroński

maciej.gawronski@gppartners.pl

Gawroński & Piecuch Spółka Komandytowo – Akcyjna

Al. Jana Pawła II 12

00-124 Warszawa

[1] http://exameinformatica.sapo.pt/noticias/mercados/2018-10-19-CNPD-Hospital-do-Barreiro-multado-em-400-mil-euros-por-permitir-acessos-indevidos-a-processos-clinicos?fbclid=IwAR336KzIUqZI3XIL-YUQTtbAWltQ2lMMOk01LNgl62P0A3Nn2BOZoQoJ1gQ