Jak przygotować się do kontroli Prezesa UODO w 2022 r.?
Na początku stycznia Prezes UODO opublikował plan kontroli na rok 2022. Został on stworzony w oparciu o liczne sygnały o naruszeniach ochrony danych, jakie spływały do organu nadzorczego. Na liście podmiotów, które mogą w tym roku spodziewać się kontrolerów UODO, znalazły się banki, podmioty przetwarzające dane osobowe w ramach aplikacji mobilnych i podmioty przetwarzające dane osobowe w SIS i WSI.
Co może obejmować kontrola?
Zakres kontroli organu nadzorczego wynikających z opublikowanego planu, będzie zależał od badanego sektora. Sylwia Czub - Kiełczewska (specjalista ds. ochrony danych osobowych, audytor wewnętrzny) wskazuje na przykładowe aspekty działalności podmiotów, które mogą być poddane weryfikacji:
Podmioty przetwarzające dane osobowe w ramach aplikacji mobilnych | Banki | Podmioty przetwarzające dane osobowe w SIS i WSI |
poprawność zabezpieczania danych; miejsce transferowania danych; zakres udostępnianych danych (czy ma miejsce profilowanie, śledzenie itd.) | sposoby profilowania klientów (np. poprzez aplikacje bankowe); przebieg informowania o dokonanej ocenie kredytowej; zakres realizacji obowiązków informacyjnych wobec klientów. | aktualność danych; retencja danych; realizacja obowiązku usuwania danych. |
Jak przygotować się do kontroli organu nadzorczego?
Jednym z najczęstszych pytań organu nadzorczego jest pytanie o retencję danych, czyli o to jak długo są przechowywane dane osobowe i czy jest to okres nie dłuższy, niż jest to niezbędne do realizacji celów, dla których dane te są przetwarzane. Przygotowania do ewentualnej kontroli warto także zacząć od przeprowadzenia analizy ryzyka, która może uwypuklić braki w realizacji obowiązków wynikających z RODO. Kolejnym krokiem powinno być zweryfikowanie czy posiadamy odpowiednie i aktualne polityki oraz regulaminy. Ważne jest również prawidłowe prowadzenie rejestru czynności przetwarzania, do którego może sięgnąć kontroler UODO.
Plan kontroli to nie wszystko...
Zaplanowane przez organ nadzorczy kontrole sektorowe nie wyczerpują puli kontroli, jakie może przeprowadzić Prezes UODO. W przypadku dużej ilości skarg czy doniesień medialnych, Prezes UODO może zmodyfikować plan. Ponadto, nawet jednorazowe złożenie skargi do UODO na działalność administratora może stać się powodem podjęcia kontroli doraźnej, podobnie w przypadku, kiedy to administrator zgłosi stwierdzone u siebie naruszenie. Zatem warto być przygotowanym również na niespodziewane kontrole.
W procesie przygotowania do kontroli pomoże Ci LEX Ochrona Danych Osobowych, w którym znajdziesz praktyczne wskazówki dla administratorów i inspektorów ochrony danych. Znajdziesz tam m.in. odpowiedzi na takie pytania jak:
- jakie są dobre praktyki;
- jakie błędy najczęściej popełniają administratorzy;
- jak wygląda przebieg kontroli: jakie są standardowe działania, typowe pytania i sprawdzane obszar
