Początek roku to czas, kiedy Urząd Ochrony Danych Osobowych przyjmuje plan kontroli na kolejny rok. W 2024 r. pod lupą Prezesa UODO znalazły się branże najbardziej rozwijające się w trakcie ostatnich lat. Planowane kontrole dotyczyć będą zarówno podmiotów prywatnych, jak i organów państwowych. Zaplanowane kontrole wynikają z otrzymywanych przez UODO sygnałów wskazujących na potencjalne naruszenia przepisów o ochronie danych osobowych w wybranych sektorach oraz z rosnącego społecznego zainteresowania problematyką ochrony danych osobowych.

KTO MUSI LICZYĆ SIĘ Z KONTROLĄ?

Podmioty funkcjonujące w ramach poniższych sektorów powinny być świadome wzrostu ryzyka objęcia ich kontrolą w ciągu najbliższego roku. Zakres planowanych kontroli jest jednak bardzo szeroki i nie stanowi katalogu zamkniętego:

  • organy przetwarzające dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym – działania kontrolne skupią się zwłaszcza na podmiotach, które przetwarzają dane osobowe w systemach SIS/VIS na podstawie przepisów ustawy z dnia 24 sierpnia 2007 o udziale Rzeczpospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym, aktów wykonawczych oraz przepisów unijnych;
  • podmioty, które przetwarzają dane osobowe przy użyciu aplikacji internetowych – tu kontrola w szczególności obejmie sposób zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji webowych (jest to kontynuacja kontroli z roku 2023 r.);
  • podmioty prywatne w zakresie prawidłowości spełniania obowiązku informacyjnego określonego w art. 13 i 14 RODO – UODO zwróci uwagę na sposób i zakres realizacji obowiązku informacyjnego i sprawdzi czy podmioty wdrożyły w swoich organizacjach klauzule informacyjne. Tak szeroko sformułowany zakres kontroli może dotyczyć niemal każdego podmiotu prywatnego, w tym – każdego pracodawcy.

CZY JEST SIĘ CZEGO BAĆ?

Wszczęcie kontroli przez Prezesa UODO jest możliwe w ramach trzech trybów:

  • zgodnie z zatwierdzonym przez Prezesa UODO planem kontroli;
  • na podstawie uzyskanych przez Prezesa UODO informacji wynikających ze skarg, zapytań i zgłoszeń naruszeń ochrony danych osobowych; lub
  • w ramach monitorowania przestrzegania RODO.

Kontrola obejmuje zarówno zgodność przetwarzania danych osobowych w organizacji z obowiązującymi przepisami, jak i faktyczną realizację procedur. W przypadku, gdy kontrola wykaże nieprawidłowości dotyczące przetwarzania danych osobowych, Prezes UODO może wszcząć odrębne postępowanie skutkujące nałożeniem administracyjnych sankcji, jak ostrzeżenia, upomnienia, nakazy, ograniczenie przetwarzania danych (w tym całkowity zaraz przetwarzania) lub administracyjnych kar pieniężnych sięgających nawet do 20 mln EURO lub – w przypadku przedsiębiorstwa, do 4% całkowitego rocznego światowego obrotu.

JAK PRZYGOTOWAĆ SIĘ DO KONTROLI PREZESA UODO?

Kontrola Prezesa UODO nie zawsze musi wiązać się z negatywnymi konsekwencjami. Wdrożenie, monitorowanie i dostosowanie wewnętrznych procesów oraz dokumentacji dotyczących przetwarzania danych osobowych w organizacji, jak też cykliczne szkolenia pracowników z zakresu bezpiecznego przetwarzania danych osobowych zminimalizują ryzyko wystąpienia niekorzystnych skutków kontroli.

Kancelaria WKB, przeprowadzając audyty identyfikujące ryzyka prawne związane z przetwarzaniem danych osobowych oraz wdrażając niezbędne procedury i dokumentację, wspiera organizacje przed ewentualnymi negatywnymi skutkami kontroli UODO, na każdym jej etapie.

W razie zainteresowania zachęcamy do kontaktu z Aleksandrą Jusik oraz Emilią Polańską.