close
menu
 

26 sierpnia 2024

Wszystko, co musisz wiedzieć o kontroli RODO

Wraz z wprowadzeniem RODO w 2018 roku zmieniło się podejście do zagadnienia przetwarzania informacji. Celem implementacji przepisów RODO było zapewnienie ochrony danych osobowych osób fizycznych. Każdy podmiot przetwarzający i przechowywujący informacje umożliwiające bezpośrednią lub nawet pośrednią identyfikację osoby fizycznej jest zobowiązany nie tylko do wprowadzenia metod ochrony danych zgodnych z RODO, lecz także do ich bieżącej weryfikacji i sprawdzania zgodności z aktualnymi przepisami. Jednakże samo przygotowanie potrzebnych dokumentów czy zatrudnienie osoby odpowiedzialnej za przetwarzanie danych w przedsiębiorstwie nie jest wystarczające. Wymagana jest ciągła zgodność, ponieważ procedury ochrony danych mogą zostać skontrolowane przez Urząd Ochrony Danych Osobowych. Kontrola RODO w przedsiębiorstwie może się zdarzyć w każdej chwili, nie tylko w przypadku zgłoszenia nieprawidłowości. W Polsce, od momentu wejścia w życie przepisów RODO, nałożono na polskie firmy 74 kary na łączną kwotę ponad 3,5 miliona euro. Jak przebiega taka kontrola? Czy można się do niej przygotować?

Zadaniem każdego państwa członkowskiego jest zapewnienie, by za monitorowanie zgodności z rozporządzeniem RODO odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w kontekście gromadzenia i przetwarzania danych osobowych. W Polsce organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych (PUODO). Jego zadaniem jest między innymi rozpatrywanie wniosków o certyfikację, monitorowanie i egzekwowanie stosowania się do zaleceń RODO oraz analiza zgłoszonych nieprawidłowości.

 

Rodzaje kontroli

Wyróżnia się 3 rodzaje kontroli:

  • prowadzone zgodnie z zatwierdzonym przez PUODO planem kontroli, tzw. kontrole branżowe,
  • prowadzone na podstawie uzyskanych przez PUODO informacji (zazwyczaj w odpowiedzi na skargi lub zawiadomienia innych podmiotów),
  • prowadzone w ramach monitorowania przestrzegania stosowania RODO, co oznacza, że podmioty kontrolowane mogą być wybierane w sposób wyrywkowy, w oderwaniu od konkretnej przyczyny.

Najczęściej zdarzają się kontrole branżowe, które są realizowane zgodnie z rocznym planem kontroli. Co do zasady coroczny plan kontroli inspirowany jest licznymi sygnałami, w tym skargami, pytaniami i zgłoszeniami naruszeń ochrony danych osobowych, wskazującymi na zagrożenia naruszenia przepisów RODO w danych obszarach działalności. W 2024 roku z kontrolą muszą się liczyć przetwarzający dane przy użyciu internetowych (webowych) aplikacji, organy przetwarzające dane osobowe w systemach SIS i VIS oraz prawidłowości spełnienia obowiązku informacyjnego przez podmioty prywatne.

  1. Organy przetwarzające dane osobowe w Systemie Informacyjnym Schengen (SIS) i Wizowym Systemie Informacyjnym (VIS) - przetwarzanie danych osobowych SIS/VIS na podstawie przepisów ustawy z dnia 24 sierpnia 2007 r. o udziale Rzeczpospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym (Dz. U. z 2023 r. poz. 1355), aktów wykonawczych oraz przepisów Unii Europejskiej.
  2. Podmioty, które przetwarzają dane osobowe przy użyciu aplikacji internetowych (webowych) – sposób zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji– kontynuacja kontroli z 2023 r.
  3. Prawidłowość spełniania obowiązku informacyjnego określonego w art. 13 i 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016 r. str. 1, ze zm.) – podmioty prywatne.

Naruszenia przepisów o ochronie danych osobowych mogą skutkować poważnymi konsekwencjami dla przedsiębiorstw. UODO może nałożyć kary finansowe sięgające nawet kilku milionów euro lub 4% rocznego światowego obrotu firmy, w zależności od rodzaju naruszenia. Ponadto, taka sytuacja naraża firmę na utratę zaufania klientów oraz reputacji, co może negatywnie wpłynąć na działalność.

 

Jak wygląda kontrola?

Kontrole branżowe z UODO są zapowiadane z co najmniej tygodniowym wyprzedzeniem, tak aby organizacja miała czas przygotować się do niej techniczne. Gdy już nadejdzie termin wyznaczony w zawiadomieniu, audytorzy zjawiają się w przedsiębiorstwie. Zespół kontrolerów składa się z dwóch, czasem trzech osób: informatyka, który sprawdza przetwarzanie danych osobowych w systemach informatycznych, oraz 1 lub 2 kontrolerów merytorycznych – specjalistów z zakresu regulacji RODO. Audytorzy mają prawo wstępu na grunt oraz do budynków, lokali lub innych pomieszczeń. Ich wizyty mogą odbywać się w godzinach od 6:00 do 22:00. Kontrola może trwać nie dłużej niż 30 dni. Cel kontroli musi być bezpośrednio powiązany z zakresem przedmiotowym kontroli wskazanym w upoważnieniu. Dodatkowo kontrolujący ma obowiązek zachowania w tajemnicy wszystkich okoliczności, o których dowiedział się w związku z przeprowadzaniem kontroli (np. tajemnic przedsiębiorstwa, w którym prowadzona jest kontrola). W trakcie procedury kontrolnej kontroler może sporządzać kopie akt, dokonywać inspekcji obiektów, pomieszczeń oraz urządzeń informatycznych i oprogramowania używanego przez kontrolowanego do przetwarzania danych osobowych. W razie ujawnienia nieprawidłowości przeprowadzone może zostać przesłuchanie przedsiębiorcy lub jego pracowników. Dodatkowo inspektorzy mają prawo do zabezpieczenia dowodów poprzez np. zajęcie sprzętu bądź całych pomieszczeń. Podczas wizyty sporządzany jest protokół kontroli, w którym ujawniane zostają ustalenia z przeprowadzonych czynności. W jego skład wchodzą dokumenty, oświadczenia, wyjaśnienia, wydruki dokumentów przedsiębiorstwa oraz inne przedmioty istotne dla postępowania. PUODO ma obowiązek zapoznać kontrolowanego z treścią protokołu, następnie - jeśli przedsiębiorca zgadza się z jego treścią - powinien w ciągu 7 dni podpisać protokół. W razie zastrzeżeń kontrolujący powinien je rozpatrzyć, podjąć dodatkowe czynności kontrolne oraz, jeśli to konieczne, dokonać zmiany lub uzupełnienia protokołu. Natomiast w przypadku nieuwzględnienia zastrzeżeń w całości albo części inspektor powinien przedstawić swoją decyzję wraz z uzasadnieniem. Niepodpisanie protokołu ani niezłożenie zastrzeżeń w przeciągu 7 dni oznacza odmowę podpisania protokołu. Terminem zakończenia kontroli jest dzień podpisania protokołu kontroli przez kontrolowanego albo dzień dokonania wzmianki o odmowie podpisania.

W niektórych sytuacjach prezes Urzędu lub osoba przeprowadzająca kontrolę może poprosić miejscowego komendanta policji o wsparcie, jeśli jest to niezbędne do przeprowadzenia kontroli. Pomoc ze strony policji polega na zapewnieniu bezpieczeństwa osobistego kontrolującemu oraz umożliwieniu mu dostępu do miejsca, w którym odbywa się kontrola. W uzasadnionych przypadkach przebieg kontroli może być nagrywany, a sama kontrola może odbywać się z udziałem policji.

Jeżeli na podstawie informacji zgromadzonych w postępowaniu kontrolnym Prezes Urzędu uzna, że mogło dojść do naruszenia przepisów RODO, zobowiązany jest do niezwłocznego wszczęcia postępowania w sprawie naruszenia przepisów o ochronie danych osobowych.

Podobnie wyglądają kontrole w postępowaniu skargowym.

 

Czy można się przygotować do kontroli?

Otrzymując zawiadomienie od UODO o planowanej kontroli w zakresie przestrzegania przepisów RODO, nie mamy dużo czasu na wielkie zmiany w organizacji. Nie ma mowy też o całościowym audycie RODO i kompleksowym wdrożeniu. Jedyne, co nam zostaje, to niezwłocznie rozpocząć przygotowania niezbędnych rzeczy.

W pierwszej kolejności należy poinformować pracowników oraz podmioty powiązane o planowanej wizycie PUODO. Następnie zgromadzić i zweryfikować dokumentację obowiązującą w organizacji w obszarze objętym kontrola, a także zabezpieczenia techniczne. W składzie potrzebnych dokumentów znajdziemy upoważnienia, umowy powierzenia przetwarzania danych, rejestry czynności przetwarzanych oraz kategorii czynności przetwarzanych, spisane procesy, a także polityki prywatności.

Przed kontrolą można rozważyć doraźne szkolenie z ochrony danych osobowych dla pracowników czy nadać brakujące upoważnienia do przetwarzania danych osobowych. Warto też przygotować się na ewentualne pytania ze strony kontrolujących. W niektórych przypadkach jesteśmy w stanie przewidzieć prawdopodobne pytania, jakie mogą się pojawić podczas kontroli. Ostatnią rzeczą, ale również niezwykle ważną jest zapewnienie kontrolującym warunków i niezbędnych środków do sprawnego przeprowadzania kontroli. Oznacza to nie tylko przygotowanie dokumentacji, w tym kopii lub wydruków oraz informacji zgromadzonych na urządzeniach, lub systemach służących do przetwarzania danych, ale również zapewnienie w razie potrzeby miejsc, w których przetwarzane są dane osobowe, na przykład serwerowni, archiwów oraz innych pomieszczeń stanowiących obszar przetwarzania danych osobowych.

Kontrole przeprowadzane przez Urząd Ochrony Danych Osobowych (UODO) stanowią wyzwanie dla organizacji i często są źródłem dużego stresu dla osób, które w nich uczestniczą. Ważne jest, aby podmioty, które są poddawane kontroli, nie tylko znały swoje prawa i korzystały z nich, ale także nie utrudniały w sposób nieuzasadniony działań kontrolnych.

 

Jak dostosować się do RODO, korzystając z rozwiązań Safetica?

Safetica to narzędzie, które pomaga firmom monitorować przepływ danych w środowisku IT oraz w momencie, gdy dane opuszczają granice firmy. Dzięki Safetica możesz określić szczegółowe zasady, które pomogą Ci zachować zgodność z RODO. System pozwala śledzić, w jaki sposób pracownicy operują danymi osobowymi i innymi danymi wrażliwymi, co umożliwia wyeliminowanie ryzyka celowego wykorzystania danych w sposób niewłaściwy oraz przypadkowego naruszenia zasad. Dodatkowo silne mechanizmy kontroli i praktyki w zakresie cyberbezpieczeństwa służą jako dowód zgodności podczas audytów i ocen. Właściwa dokumentacja środków bezpieczeństwa i działań związanych z reagowaniem na incydenty pomaga wykazać należytą staranność i zgodność z wymogami regulacyjnymi.

Dowiedz się więcej o Safetica:

Zabezpiecz dane przed wyciekiem!
BEZPŁATNY WEBINAR Zabezpiecz dane przed wyciekiem!
Na żądanie
Weź udział
#data loss protection #dlp informacja safetica #wyciek danych

Autorem tekstu jest Joanna Świerczyńska

Mateusz Piątek

Mateusz Piątek
senior product manager Safetica / Holm Security / Senhasegura

Masz pytania?
Skontaktuj się ze mną:
piatek.m@dagma.pl
532 570 255

Skuteczna ochrona przed wyciekiem danych

Sprawdź

Podobne wpisy:

arrow_forward_ios
30 października 2024
Nowe wektory ataku i jak im Zapobiegać - Podcast Porozmawiajmy o IT
#dlp informacja safetica
30 października 2024
Czy odkryłeś już nową Safetica?
#dlp informacja safetica
09 października 2024
Wzmocnienie zapobiegania utracie danych (DLP) w AWS
#dlp informacja safetica
24 września 2024
Safetica uhonorowana miejscem na cenionej liście MES Midmarket 100
#data loss protection #dlp nagrody i wyróżnienia safetica #wyciek danych wydarzenie
09 września 2024
Czy istnieje RODO w mediach społecznościowych?
#data loss protection #dlp informacja safetica #wyciek danych
29 sierpnia 2024
„Safetica spełnia wszystkie nasze oczekiwania” - case study - Bank Spółdzielczy w Kraśniku
case study #data loss protection #dlp safetica #wyciek danych
arrow_forward_ios