Sposób przechowywania i przetwarzania danych osobowych przez firmy stał się bardzo popularnym tematem od czasu wprowadzenia RODO, czyli rozporządzenia o ochronie danych osobowych. Dowiedz się, co może obejmować kontrola RODO w firmie oraz kto ją przeprowadza.
UODO zamiast GIODO – co to oznacza dla firm?
Po ponad 20 latach istnienia Generalny Inspektorat Ochrony Danych Osobowych 25 maja 2018 roku został zastąpiony nowym organem, który otrzymał nazwę Prezesa Urzędu Ochrony Danych Osobowych (UODO). Również tego dnia w Polsce zaczęło obowiązywać rozporządzenie o ochronie danych osobowych RODO oraz weszła w życie ustawa z dnia 10 maja 2018 roku: UODO; Dz.U. 2018 poz. 1000 – o ochronie danych osobowych. Jest ona częścią pakietu legislacyjnego, który ma na celu dostosowanie polskich przepisów do reformy ochrony danych osobowych na terenie całej Unii Europejskiej.
RODO wprowadza między innymi funkcję inspektora ochrony danych osobowych, która zastąpiła dotychczasowe stanowisko administratora bezpieczeństwa informacji. Co więcej, UODO działa między innymi w takich obszarach jak:
- Postępowanie w sprawie naruszenia danych osobowych, nakładanie administracyjnych kar finansowych zgodnie z art. 83 ust. 2 RODO.
- Postępowanie kontrolne przez upoważnionych pracowników Urzędu zgodnie z zatwierdzonym przez Prezesa UODO planem kontroli albo na podstawie np. złożonych skarg (art.78,79 ust. 1 UODO).
- Na podstawie art. 16 UODO opracowywanie certyfikacji zgodnie z art. 42 RODO i przeprowadzanie certyfikacji zgodnie z art. 15 ust. 1 UODO.
- Zatwierdzanie kodeksów postępowań i akredytacja podmiotów monitorujących przestrzeganie tych kodeksów – na podstawie art. 40 RODO, rozdział 5 UODO.
- Prowadzenie systemu elektronicznego, który umożliwia administratorom zgłaszanie naruszeń na podstawie art. 33 RODO.
- Zgodnie z art. 10 UODO prowadzenie ewidencji inspektorów ochrony danych osobowych, których powołali administratorzy.
- Pełnienie funkcji organu doradczego w zakresie podnoszenia standardów ochrony danych osobowych.
W 2020 roku UODO planuje kontrole sektorowe
„w bankach pod kątem kopiowania dokumentów tożsamości, podmiotach korzystających z systemu zdalnego odczytu wodomierzy oraz organach przetwarzających dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym, tj. konsulatach i administracji skarbowej”.
Kontrola RODO w firmie – co obejmuje?
Upoważnienie do kontroli może obejmować ustalenia dotyczące np.:
- podstaw prawnych przetwarzania danych osobowych w firmie,
- z jakich źródeł dane osobowe są pozyskiwane,
- kategorii osób, których dane dotyczą,
- kategorii danych osobowych, które są przetwarzane,
- celu, w jakim dane są przetwarzane,
- w jaki sposób jest spełniany obowiązek informacyjny,
- podstawy prawnej, zakresu, celu, sposobu ujawniania i udostępniania danych odbiorców,
- udzielania upoważnień do przetwarzania danych osobowych,
- realizacji praw osób, których dane są przetwarzane,
- procedur i polityki ochrony danych,
- czy jest inspektor danych osobowych,
- jak długo są przechowywane dane osobowe,
- czy w firmie są odpowiednie środki techniczne i organizacyjne, które zapewniają bezpieczeństwo danych,
- prowadzenia rejestru czynności przetwarzania danych,
- dokumentacji dotyczącej naruszenia ochrony danych.
Kontrola RODO w firmie to rodzaj wywiadu osobowego, oględzin, zbierania dowodów, dlatego warto, by każdy pracownik firmy wiedział, jakie są zasady przetwarzania danych osobowych w firmie. Dzięki temu potencjalne pytania kontrolerów nie będą zaskoczeniem. Kontrolerzy, czyli upoważnieni pracownicy UODO sporządzają protokół kontroli wraz z załącznikami np. w postaci żądanych podczas kontroli dokumentów.
