Ogólne rozporządzenie o ochronie danych osobowych (RODO) stosowane jest od maja 2018 roku. Organem, który nadzoruje właściwe przestrzeganie przez przedsiębiorców przepisów RODO jest Prezes Urzędu Ochrony Danych Osobowych.
Jednym z jego podstawowych uprawnień Prezesa jest prowadzenie postępowań w formie audytów ochrony danych. Rozwinięciem tego uprawnienia będzie niewątpliwie możliwość:
uzyskiwania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań? jak również ?uzyskiwanie dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych.
Podobnie jak do tej pory przeprowadzenie kontroli możliwe będzie na podstawie zatwierdzonego planu kontroli lub na podstawie pozyskanych przez Prezesa informacji. Kontrola musi być wcześniej zapowiedziana. Wszczyna się ją nie wcześniej niż po upływie 7 dni i nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia o zamiarze wszczęcia kontroli.
Osoba kontrolująca będzie musiała okazać upoważnienie. Znajdą się w nim najważniejsze informacje ? zakres kontroli oraz wskazanie osób uprawnionych do jej przeprowadzenia. Nie będzie to zazwyczaj jedna osoba, a minimum dwie tj. prawnik i informatyk. Kontroler będzie zobowiązany do pouczenia jakie są obowiązki podmiotu kontrolowanego oraz o przewidywanym terminie zakończenia czynności kontrolnych. Kontrola nie powinna trwać dłużej niż 30 dni od okazania upoważnienia.
Jakie obowiązki ma podmiot kontrolowany?
Podmiot kontrolowany musimy umożliwić wstęp od 6 do 22 do budynków, lokali i pomieszczeń oraz dokumentów i informacji związanych z zakresem kontroli. Podstawowym narzędziem kontroli jest zapoznanie się z dokumentami oraz oględziny miejsc i środków wykorzystywanych do przetwarzania danych, a więc również narzędzi i systemów informatycznych. Dlatego też można zostać poproszonym o sporządzenie kopii lub wydruków, które kontrolera zainteresują. Jeśli kontrolerzy uznają to za uzasadnione będą mogli wykorzystywać narzędzia rejestrujące przebieg kontroli a więc nagrywać dźwięk lub obraz. O tym jednak będą musieli wcześniej poinformować. Kontrolerzy mogą również przesłuchać pracownika kontrolowanego podmiotu jako świadka.
Do kogo zapukają kontrolerzy PUODO w roku 2019?
Na początku roku PUODO opublikował plan kontroli sektorowych. Każdy podmiot, którego działalność klasyfikuje się w jednym z poniżej wymienionych sektorów może w bieżącym roku spodziewać się kontroli w zakresie wypełniania obowiązków nakładanych na niego przez RODO.
A.    Sektor publiczny
I.    Miejski monitoring wizyjny (kontynuacja kontroli sektorowych z 2018 r.)
II.    Udostępnianie danych w Biuletynie Informacji Publicznej oraz sposób wysyłania korespondencji zawierającej dane osobowe
III.    Sposób prowadzenia rejestru czynności przetwarzania danych osobowych i sposób dokumentowania przez administratora danych naruszeń ochrony danych osobowych  
IV.    System identyfikacji i monitoringu odpadów  
V.    Sposób prowadzenia i zabezpieczenia przez spółdzielnie mieszkaniowe rejestru członków
B.    Sektor prywatny
I. Telemarketing  
II. Brokerzy danych w zakresie podstaw prawnych przetwarzania danych osobowych  
III. Profilowanie w sektorze bankowym i ubezpieczeniowym.

C.    Sektor organów ścigania i sądów
I. Policja - środki techniczne i organizacyjne mające na celu zapobiegnięcie nieuprawnionemu odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu nośników danych, realizacja obowiązków związanych z wewnętrzną obsługą oraz notyfikacją w PUODO naruszeń ochrony danych osobowych
II. Straż Graniczna - ustalenie środków mających na celu zapobiegnięcie nieuprawnionemu wprowadzaniu danych osobowych oraz nieuprawnionemu oglądaniu, zmienianiu lub usuwaniu przechowywanych danych osobowych oraz  zapobieżenie nieuprawnionemu odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu danych osobowych podczas ich przekazywania lub podczas przenoszenia nośników danych
III. Areszty Śledcze - środki mające na celu zapobieżenie nieuprawnionemu odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu danych osobowych podczas ich przekazywania lub podczas przenoszenia nośników danych, a także zapewnienie osobom, uprawnionym do korzystania z systemu zautomatyzowanego przetwarzania, dostępu wyłącznie do danych osobowych objętych posiadanym przez siebie uprawnieniem, sposoby udostępniania danych osobowych osadzonych, podstawy prawnej, celu i zakresu ich udostępniania.
IV. Systemy SIS/VIS - kontrolą objęte będą podmioty uprawnione do dostępu do systemów SIS/VIS. Zakresem kontroli objęta będzie realizacja zadań wynikających z: ? Rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 767/2008 z dnia 9 lipca 2008 r. w sprawie Wizowego Systemu Informacyjnego (VIS) oraz wymiany danych pomiędzy państwami członkowskimi na temat wiz krótkoterminowych
 
D.    Sektor zdrowia, zatrudnienia i szkolnictwa
I. Szkoły i placówki oświatowe - przetwarzanie danych osobowych rejestrowanych za pomocą systemu monitoringu wizyjnego (cd. sektora rozpoczętego w IV kwartale 2018 r.).
II. Pracodawcy - przetwarzanie danych osobowych rejestrowanych za pomocą systemu monitoringu wizyjnego. Przetwarzanie danych w związku z rekrutacją.
III. Podmioty udzielające świadczeń zdrowotnych - przetwarzanie danych osobowych w związku z udostępnianiem dokumentacji medycznej w ramach realizacji praw pacjenta do dostępu do dokumentacji medycznej dotyczącej jego stanu zdrowia oraz udzielonych mu świadczeń zdrowotnych.

Pracodawco pamiętaj!
14 grudnia 2012 roku zawarte zostało porozumienie pomiędzy Państwową Inspekcją Pracy a Biurem Generalnego Inspektora Ochrony Danych Osobowych, w treści którego określone zostały zasady współpracy tych organów. Porozumienie określa zasady współdziałania PIP i GIODO w realizacji ustawowych zadań dla podniesienia skuteczności działań na rzecz przestrzegania przepisów o ochronie danych osobowych w stosunkach pracy. Porozumienie zobowiązuje PIP do zawiadomienia PUODO o ?stwierdzonych w czasie kontroli nieprawidłowościach w zakresie zgodności przetwarzania danych z przepisami o ochronie danych osobowych. W ostatnim czasie zostały przeprowadzone szkolenia pracowników Inspekcji Pracy w zakresie ochrony danych osobowych, dlatego też podczas kontroli PIP należy spodziewać się pytań o przestrzeganie RODO przy zatrudnianiu pracowników.
Opracowała Natalia Owsianko-Piątek
Kancelaria Prawna Honestus

Używamy plików cookie, aby poprawić komfort korzystania z naszej witryny.