Uwaga twórcy aplikacji mobilnych! UODO zapowiada kontrole sektorowe. Na czym polegają?
Facebook ma regularne problemy ze spełnieniem warunków unijnego GDPR, co kończy się srogimi karami, fot. ShutterstockJak informuje UODO, z kontrolą muszą się liczyć przetwarzający dane przy użyciu internetowych czy mobilnych aplikacji oraz organy przetwarzające dane osobowe w systemach SIS i VIS.
Szczegółowy plan kontroli sektorowych UODO na rok 2023 obejmuje:
- Organy przetwarzające dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym - przetwarzanie danych osobowych SIS/VIS na podstawie przepisów ustawy z dnia 24 sierpnia 2007 r. o udziale Rzeczpospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym (Dz. U. z 2021 r. poz. 1041), aktów wykonawczych oraz przepisów Unii Europejskiej.
- Podmioty przetwarzające dane osobowe przy użyciu aplikacji mobilnych – sposób zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji.
- Podmioty przetwarzające dane osobowe przy użyciu aplikacji internetowych (webowych) – sposób zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji.
Kontrole UODO. Jak się przygotować?
W odróżnieniu od kontroli wynikających ze zgłoszeń nieprawidłowości, kontrole sektorowe są standardem pracy UODO. Co do zasady inspektorzy mogą pojawić się w każdej firmie działających w obszarach, w których zapowiadane są planowane kontrole na konkretny rok.
Inspektorzy w praktyce zawsze zapowiadają wizytę z wyprzedzeniem. Teoretycznie nie muszą tego robić, ale praktyka jest inna. Na miejscu powinien być obecny Inspektor Ochrony Danych albo osoba, która ma za zadanie dbanie o RODO. Sama kontrola zgodnie z prawem może trwać do 30 dni, ale inspektorzy w firmie przebywają najczęściej tylko kilka dni.
Przedsiębiorca przed przyjęciem inspektorów powinien sprawdzić, czy są oni rzeczywiście przedstawicielami UODO. Urząd informował bowiem o przypadkach podszywania się pod inspektorów - dlatego mają oni legitymacje służbowe oraz pisemne upoważnienie do przeprowadzenia kontroli.
Co sprawdzają inspektorzy UODO?
Przede wszystkim dwa kluczowe dokumenty - Rejestr Czynności Przetwarzania oraz Rejestr Kategorii Czynności Przetwarzania. Inspektorzy weryfikują, czy firma je posiada oraz czy są aktualizowane. UODO sprawdza także procedury, związane z incydentami naruszenia przepisów RODO czy też jak realizowane są prawa osób np. do dostępu do informacji. Inspektorzy mogą zweryfikować wiedzę pracowników oraz IOD co do znajomości tych procedur, a także zweryfikują obecność rejestru incydentów.
Biorąc pod uwagę tegoroczne plany UODO, warto także zadbać o zweryfikowanie obszaru bezpieczeństwa IT, czyli w jaki sposób chronione są dane użytkowników aplikacji.
Warto zadbać o pracowników, a dokładniej o ich wiedzę oraz świadomość związaną z kontrolą UODO.
Przeczytaj także; szukasz pomysłu na biznes?
Co mogą (a czego nie) inspektorzy?
Szczegółowe informacje znajdziesz w ustwie o ochronie danych osobowych w art. 84. Inspektorzy na podstawie tych przepisów mogą przebywać w firmie od godz. 6 do 22 oraz mają dostęp do wszystkich budynków i pomieszczeń w firmie. Mają także wgląd do wszystkich dokumentów - ale naturalnie zgodnie z zakresem przedmiotowym kontroli. Mogą także prowadzić oględziny miejsc oraz urządzeń czy systemów służących do przetwarzania danych. Chodzi tu także o fizyczne sprawdzenie - np. czy jest monitoring lub też czy wejście do serwerowni jest zabezpieczone systemem alarmowym.
Inspektorzy mogą także przesłuchiwać w charaterze świadka pracowników w danej firmy, a także zlecać sporządzenie ekspertyzy i opinie. Co ważne, w uzasadnionych przypadach mogą utrwalać kontrole w formie audio lub wideo.
Co, jeśli nie wpuścisz inspektorów? Najprawdopodobniej powrócą w towarzystwie policji.
Kontrola UODO i co potem?
Po przeprowadzeniu kontroli (uwaga - niekoniecznie po wyjściu inspektorów z firmy, kontrola może trwać nadal) inspektorzy przekazują protokół do podpisania. Przedsiębiorca ma siedem dni na jego podpisanie albo złożenie zastrzeżeń. Jeśli zrobisz to drugie, to inspektorzy mogą albo zmienić albo uzupełnić protokół albo nieuzwzględnić zastrzeżeń.
Jeśli podpiszesz protokół albo odmówisz jego podpisania (lub też tego nie zrobisz, niezależnie od przyczyn, w terminie), protokół trafia do PUODO, który ocenia firmę pod względem przepisów o ochronie danych osobowych. Jeśli nie doszło do naruszeń, otrzymasz stosowną informację. Jeśli doszło, PUODO wszczyna postępowanie w sprawie naruszeń.