Plan kontroli Prezesa UODO na ten rok zatwierdzony. Jakie firmy zostaną wzięte pod lupę Urzędu i na co muszą się przygotować?
18 stycznia Prezes Urzędu Ochrony Danych Osobowych zatwierdził plan kontroli sektorowych na 2023 rok. Co roku Prezes UODO wyznacza kilka sektorów, w których planuje przeprowadzić działania kontrolne np. z uwagi na dużą liczbę zgłoszeń naruszeń ochrony danych osobowych skierowanych do niego w odniesieniu do podmiotów z danej branży.
Jakie sektory będą kontrolowane?
W zatwierdzonym Planie Kontroli Prezes UODO wskazał na 3 główne grupy podmiotów, na których skupią się kontrole w tym roku:
- Organy przetwarzające dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym – w szczególności Prezes UODO zamierza kontrolować przetwarzanie danych osobowych SIS/VIS1.
- Podmioty przetwarzające dane osobowe przy użyciu aplikacji mobilnych – w szczególności Prezes UODO zamierza kontrolować sposób zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji.
- Podmioty przetwarzające dane osobowe przy użyciu aplikacji internetowych (webowych) – w szczególności Prezes UODO zamierza kontrolować sposób zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji.
Zaplanowane kontrole wynikają z otrzymywanych przez UODO sygnałów, tj. m.in. skarg, zapytań i zgłoszeń naruszeń ochrony danych osobowych, wskazujących na potencjalne naruszenia przepisów o ochronie danych osobowych oraz dużego społecznego zainteresowania tego typu problemami w określonych w Planie Kontroli sektorach.
Kontrola Prezesa UODO i jej potencjalne skutki
Prezes UODO ma prawo monitorowania i egzekwowania stosowania przepisów RODO2, co obejmuje m. in. przeprowadzanie kontroli oraz wszczynanie postępowań.
Prezes UODO może m.in.: (i) prowadzić postępowania w formie audytów ochrony danych; (ii) uzyskać od administratora i podmiotu przetwarzającego dostęp do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań.
Prezes UODO może wszcząć kontrolę w ramach trzech trybów, tj. zgodnie z zatwierdzonym przez Prezesa UODO planem kontroli, na podstawie uzyskanych przez Prezesa UODO informacji lub w ramach monitorowania przestrzegania stosowania RODO3.
Kontrola podmiotu odbywa się na podstawie przepisów KPA oraz przepisów o ochronie danych osobowych. W przypadku, gdy kontrola przestrzegania przepisów wykaże nieprawidłowości, Prezes UODO może rozpocząć odrębne postępowanie w sprawie naruszenia przepisów o ochronie danych, które w wypadku jego negatywnych rezultatów może spowodować nałożenie na podmiot instrumentów naprawczych lub administracyjnych kar pieniężnych.
Organ nadzorczy dysponuje uprawnieniami do korzystania względem podmiotu, w którym wykrył nieprawidłowości instrumentów naprawczych4. Są to w szczególności:
- wydawanie ostrzeżeń administratorowi danych lub podmiotowi przetwarzającemu, dotyczących możliwości naruszenia RODO poprzez planowane operacje przetwarzania;
- udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia RODO przez operacje przetwarzania;
- nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw jej przysługujących;
- nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do RODO, a w stosownych przypadkach wskazanie sposobu i terminu;
- nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;
- wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania.
Druga grupa uprawnień Prezesa UODO5 to uprawnienia do nakładania administracyjnych kar pieniężnych na podmiot. Oba narzędzia (instrumenty naprawcze i kary pieniężne) mogą być stosowane łącznie.
RODO przewiduje dwie grupy kar pieniężnych:
- do 10.000.000 EUR lub w wysokości do 2% całkowitego rocznego światowego obrotu przedsiębiorcy z poprzedniego roku obrotowego;
- do 20.000.000 EUR lub w wysokości do 4% całkowitego rocznego światowego obrotu przedsiębiorcy z poprzedniego roku obrotowego.
Kontrola Prezesa UODO w podmiocie, w razie wykazania nieprawidłowości w przestrzeganiu przepisów dotyczących ochrony danych osobowych przez ten podmiot może zatem zakończyć się nałożeniem na podmiot instrumentu naprawczego lub kary pieniężnej.
Jak przedsiębiorstwa wskazane w Planie Kontroli powinny przygotować się do czynności UODO?
W związku z powyższym, podmioty funkcjonujące w ramach jednego z powyższych sektorów powinny być świadome wzrostu możliwości objęcia ich kontrolą Prezesa UODO w 2023 roku. Kontrola taka obejmować będzie zarówno zgodność przetwarzania danych osobowych w organizacji z obowiązującymi przepisami (przez identyfikację wdrożonych w podmiocie procedur), ale także faktyczną realizację tych procedur.
Kontrola Prezesa UODO nie musi jednak oznaczać negatywnych konsekwencji dla podmiotu kontrolowanego. Analiza i dostosowanie wewnętrznych procesów oraz dokumentacji dotyczącej przetwarzania danych osobowych wewnątrz i na zewnątrz organizacji do przepisów RODO może zminimalizować ryzyko nałożenia na podmiot kary wynikającej z naruszenia przepisów.
SSW prowadzi audyty firm, które pozwalają zidentyfikować braki w przestrzeganiu ochrony danych osobowych. Audyty mają formę pozorowanej kontroli organu nadzorczego i pozwalają przygotować podmiot na pozytywne przejście ewentualnej rzeczywistej kontroli.
- na podstawie przepisów ustawy z dnia 24 sierpnia 2007 r. o udziale Rzeczpospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym (Dz. U. z 2021 r. poz. 1041), aktów wykonawczych oraz przepisów Unii Europejskiej
- Art. 57 RODO
- Art. 78 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych
- Art. 58 ust. 2 RODO
- Art. 83 RODO