02_19 50 milionów euro kary za brak RODO! - na razie nie w Polsce, ale…

Francuski organ kontroli danych osobowych nałożył na Google LLC rekordową karę 50 mln euro za naruszenia w zakresie przetwarzania i wykorzystywania danych użytkowników. Dotychczasowe decyzje analogicznych instytucji wskazują, że takich kontroli ochrony danych osobowych będzie coraz więcej w państwach Unii Europejskiej, także w Polsce. 

Kto pod lupę w Polsce?

Na początku bieżącego roku Urząd Ochrony Danych Osobowych (UODO) przedstawił plan kontroli sektorowych na najbliższe dwanaście miesięcy. Jak podkreśla UODO, plan został opracowany w oparciu o spływające pytania, a także skargi i zgłoszenia naruszeń ochrony danych osobowych.

Pracodawcy zostaną skontrolowani w kontekście przetwarzania przez nich danych osobowych pozyskanych w związku z rekrutacją. Wszystkie firmy, o ile jeszcze tego nie zrobiły, powinny jak najszybciej zweryfikować:

  • zakres danych zbieranych w toku rekrutacji
  • podstawy prawne przetwarzania danych
  • czas ich przetwarzania,
  • sposób ich ochrony.

Dodatkowo będą kontrolowane zasady przetwarzania danych przez pracodawców w związku z użyciem systemu monitoringu wizyjnego, a więc czy są przestrzegane nowe obowiązujące od 25 maja 2018 roku regulacje o monitoringu.

Branże do kontroli

Oprócz kontroli związanych z gromadzeniem danych dla celów rekrutacji (które mogą objąć również branżę motoryzacyjną), wskazano, że szczególną weryfikacją sektorową zostaną objęte rejestry publiczne, sektor medyczny, oświata, miejski monitoring wizyjny, a także sektor organów ścigania i sądownictwa. Kontroli mogą się również spodziewać podmioty prywatne działające w sektorze bankowym, ubezpieczeniowym, branży callcenter oraz brokerzy danych. Co ważne, UODO planuje kontrolę profilowania dokonywanego przez banki i ubezpieczycieli, co powinno być bardzo istotne z punktu widzenia klientów tych instytucji.

Wiele wątpliwości i zastrzeżeń konsumentów budzi również działalność telemarketerów, dlatego pomimo kontroli działania firm typu callcenter jesienią ubiegłego roku, UODO zdecydował się ponownie prześwietlić ten sektor oraz brokerów danych w zakresie podstaw prawnych przetwarzania danych osobowych.

UODO skontroluje również podmioty udzielające świadczeń zdrowotnych; weryfikacja obejmie przetwarzanie danych osobowych pacjentów w związku z udostępnianiem im ich dokumentacji medycznej.

Kontrola UODO (w niektórych przypadkach)

  • może zostać przeprowadzona pod nieobecność kontrolowanego
  • kontrolujący mają prawo wstępu na teren firmy od godz. 6:00 do 22:00
  • urząd może przeprowadzić przesłuchania pracowników i zażądać wglądu w dokumentację
  • może zostać prowadzona w asyście policji
  • może zostać udokumentowana w postaci nagrania
  • nie może trwać dłużej niż 30 dni

Przedsiębiorca ma obowiązek zapewnić odpowiednie warunki i środki niezbędne do sprawnego przeprowadzenia kontroli oraz pokryć część jej kosztów.

Kontrole i kary na horyzoncie

Jak zapowiada Prezes UODO, wkrótce pojawią się pierwsze dotkliwe kary finansowe na podstawie RODO, co stanowi realne ryzyko biznesowe dla działalności przedsiębiorstw. Aby odpowiednio przygotować pracowników do potencjalnej kontroli, warto zapoznać ich z kompetencjami i uprawnieniami UODO. Dobrym rozwiązaniem jest również przeprowadzenie symulacji kontroli, która pozwoli zweryfikować zachowania personelu, a także pomoże sprawdzić gotowość przedsiębiorstwa na faktyczną wizytę urzędników.

Zapraszamy do kontaktu:

Joanna Tomaszewska
 Partner
 SSW Pragmatic Solutions
 joanna.tomaszewska@ssw.solutions

Więcej na temat Ochrony Danych Osobowych: https://ssw.solutions/pl/specjalizacje/rodo/