Kontrole sektorowe to narzędzie służące przede wszystkim sprawdzeniu, czy w określonych sektorach rzeczywiście przestrzegane są przepisy RODO. Jeżeli nie, wówczas celem kontroli będzie wskazanie obszarów, w których występują nieprawidłowości oraz udzielenie kontrolowanemu podmiotowi odpowiednich wskazówek, jak je naprawić. Ale kontrola sektorowa to także doskonały sygnał dla tych, którzy opracowali dokumentację RODO, ale nigdy jej skutecznie nie wdrożyli – przenosząc ją „do szuflady”.

 

Podmioty objęte planem kontroli sektorowych na rok 2025

W 2025 roku kontrole UODO obejmą obszary, które z punktu widzenia ochrony danych należą do najbardziej wrażliwych. Będą to:

  1. Podmioty przetwarzające dane o stanie zdrowia
  2. Podmioty przetwarzające dane osobowe dzieci
  3. Organy przetwarzające dane w ramach Wielkoskalowych Systemów Unii Europejskiej.
  4. Administratorzy danych, którzy muszą dokumentować naruszenia ochrony danych osobowych [1]

 

Czy wszystkie podmioty z powyższych sektorów zostaną poddane kontroli?

Nie – z danego sektora UODO losowo (lub celowo) wybiera określoną liczbę podmiotów, które zostaną objęte formalną kontrolą. O planowanej kontroli podmioty te dowiedzą się poprzez listowne zawiadomienie, określające m.in. zakres przedmiotowy kontroli, datę oraz podstawę prawną. W jakim terminie? Tutaj ani RODO, ani nawet polska ustawa o ochronie danych osobowych nie przedstawia jakichkolwiek szczegółów. Jednak jeśli chodzi o przedsiębiorców, to z pomocą przychodzi nam ustawa z dnia 6 marca 2018 r. – Prawo przedsiębiorców, której art. 48 ust. 2 niejako zakreśla termin wszczęcia kontroli. Zgodnie z tym przepisem:

„1. Organ kontroli zawiadamia przedsiębiorcę o zamiarze wszczęcia kontroli.

  1. Kontrolę wszczyna się nie wcześniej niż po upływie 7 dni i nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia o zamiarze wszczęcia kontroli. Jeżeli kontrola nie zostanie wszczęta w terminie 30 dni od dnia doręczenia zawiadomienia, wszczęcie kontroli wymaga ponownego zawiadomienia.”

Zauważmy jednak, że te kilka dni to dość krótki termin na prawidłowe wdrożenie przepisów o ochronie danych osobowych i przygotowanie dokumentacji, która będzie dostosowana do specyfiki działalności danego podmiotu. Zdecydowanie lepiej zapewnić sobie ten „luksus”, jakim jest czas, i jeszcze przed potencjalnym otrzymaniem zawiadomienia, przeprowadzić wewnętrzny audyt dokumentacji i procesów ochrony danych.

 

Otrzymałem zawiadomienie! Ale kto powinien zająć się przygotowaniami do kontroli?

Formalnie – to administrator danych osobowych ponosi pełną odpowiedzialność za zgodność przetwarzania danych z przepisami prawa. To on decyduje o celach i metodach przetwarzania, to on podpisuje procedury i on odpowiada za ewentualne nieprawidłowości. Co więcej – to administratora obejmuje zasada rozliczalności, o której mówi art. 5 ust. 2 RODO. Wszystko wskazywałoby więc na to, że to administrator powinien podjąć stosowne działania.

Nic bardziej mylnego.

Przygotowanie do kontroli powinno przypominać podejście „all hands on deck” – to zadanie zespołowe, wymagające zaangażowania kilku kluczowych osób:

  • Inspektora Ochrony Danych Osobowych – jeżeli taki został wyznaczony, to jego rola jest fundamentalna. Powinien on pełnić funkcję doradczą i monitorować zgodność z przepisami, wspierając administratora w przygotowaniach.
  • Działu IT – który jest odpowiedzialny za techniczne aspekty ochrony danych, takie jak systemy zabezpieczeń, polityki dostępu, backupy oraz procedury reagowania na incydenty.
  • Istotnych działów operacyjnych – takich jak HR, marketing, obsługa klienta czy (w szczególności dla celów tegorocznych kontroli) rejestracja pacjentów. To te podmioty na co dzień przetwarzają dane, dlatego muszą być świadome obowiązujących procedur i zasad ochrony danych.
  • Zarządu lub kadry kierowniczej – ponieważ bez pełnego zrozumienia znaczenia RODO na poziomie strategicznym, wdrożenie procedur ochrony danych może stać się tylko niechcianą przez nikogo formalnością, zbędną „papierologią”.

Bez zaangażowania z góry nie ma sensu bawić się w pozory. PUODO coraz częściej patrzy na kulturę organizacyjną, a nie tylko na papier. Co istotne, samo przygotowanie się do kontroli nie powinno być zadaniem „do odhaczenia”, wykonywanym przez jedną osobę tuż przed wizytą urzędników. Powinien to być proces ciągły, którego celem jest zbudowanie realnego systemu ochrony danych.

 

Co należy przygotować / zaktualizować?

  • Polityka ochrony danych osobowych– powinna być aktualna, podpisana, oraz (przede wszystkim) prawidłowo wdrożona. Bez tego – kontrolującym na pewno zaświeci się czerwone światło.
  • Rejestr czynności przetwarzania – powinien być aktualny i przedstawiać kompletny zakres operacji. Rejestry niewypełnione, posiadające zbyt ogólne informacje, które już na pierwszy rzut oka sprawiają wrażenie niedostosowanych do specyfiki przedsiębiorstwa, dadzą kontrolującym solidne podstawy to stwierdzenia, że ochrona danych u danego podmiotu w praktyce nie funkcjonuje.
  • Rejestr naruszeń ochrony danych – w którym oprócz samych wpisów należy zadbać, aby każdy przypadek naruszenia był odpowiednio udokumentowany. Trzeba także pamiętać, że samo posiadanie rejestru nie wystarczy – ważne jest, aby kontrolujący dostrzegli, że organizacja reaguje na incydenty skutecznie. W celu przypomnienia: RODO nakłada obowiązek dokumentowania każdego naruszenia, nawet jeśli nie stanowi ono ryzyka dla praw i wolności osób fizycznych (!).
  • Oceny ryzyka, DPIA – dokumenty te są obowiązkowe, gdy przetwarzanie danych może wiązać się z wysokim ryzykiem dla osób fizycznych. Szczególną uwagę należy zwrócić na sytuacje, w których przetwarzanie dotyczy szczególnych kategorii danych (np. właśnie dane zdrowotne, dane dzieci). Ocena ryzyka musi być przeprowadzona przed rozpoczęciem przetwarzania oraz w przypadku zmian w zakresie przetwarzania, które mogą zwiększyć ryzyko.
  • Umowy powierzenia przetwarzania danych – tu warto zwrócić szczególną uwagę na to, czy wszystkie umowy są zgodne z aktualnymi wymaganiami prawnymi, a także czy określają odpowiednie środki bezpieczeństwa, odpowiedzialność za incydenty i zakres uprawnień podwykonawców.
  • Szkolenia pracowników – ważne jest, aby pracownicy byli świadomi, jak postępować z danymi osobowymi, jak reagować na żądania osób fizycznych (np. prawo dostępu do danych) oraz jak postępować w przypadku naruszeń ochrony danych. Niedostateczne szkolenia (albo ich całkowity brak) mogą stanowić podstawę do stwierdzenia, że organizacja nie wdrożyła skutecznej kultury ochrony danych osobowych.
  • Procedury reagowania na incydenty – zgodnie z RODO, organizacje muszą mieć opracowane procedury postępowania w przypadku naruszenia ochrony danych osobowych. To nie tylko kwestia teorii – kontrolerzy będą sprawdzać, czy te procedury są rzeczywiście stosowane w praktyce.

 

Powyższa lista może być długa, ale określa dokumenty absolutnie podstawowe. Ich przegląd oraz – gdy to konieczne – stosowne uzupełnienie, pozwolą nie tylko uniknąć ewentualnych sankcji, ale również zapewnią, że organizacja będzie w stanie skutecznie udowodnić przestrzeganie przepisów o ochronie danych osobowych.

 

[1] https://uodo.gov.pl/pl/138/3513

Aleksandra Bielat
zobacz inne wpisy tego autora