Kontrole RODO 2019

Prezes UODO opublikował na swojej stronie internetowej plan kontroli obszarowych na rok 2019. Podmioty działające w obszarach, które zostały wyszczególnione w wykazie powinny być w szczególności gotowe do wykazania posiadania sprawnego i zgodnego z prawem systemu ochrony danych osobowych. S ą to przede wszystkim spółdzielnie mieszkaniowe oraz gminy w zakresie sektora publicznego oraz formy telemarketingowe i handlarze danymi osobowymi z sektora prywatnego.

Nie wyklucza to oczywiście kontroli w innych obszarach. Należy pamiętać, że Prezes UODO poza planowymi kontrolami reaguje także na bieżące sytuacje oraz zawiadomienia. Tych było w ciągu pierwszych trzech miesięcy funkcjonowania RODO zgodnie z oświadczeniami urzędników około 2.400, a ich liczba ma stare rosnąć.

PLAN KONTROLI PREZESA UODO NA ROK 2019

SEKTOR PUBLICZNY
I. Miejski monitoring wizyjny (kontynuacja kontroli sektorowych z 2018 r.)
II. Udostępnianie danych w Biuletynie Informacji Publicznej oraz sposób wysyłania korespondencji zawierającej dane osobowe
III. Sposób prowadzenia rejestru czynności przetwarzania danych osobowych i sposób dokumentowania przez administratora danych naruszeń ochrony danych osobowych
IV. System identyfikacji i monitoringu odpadów
V. Sposób prowadzenia i zabezpieczenia przez spółdzielnie mieszkaniowe rejestru członków

SEKTOR PRYWATNY
I. Telemarketing
II. Brokerzy danych w zakresie podstaw prawnych przetwarzania danych osobowych
III. Profilowanie w sektorze bankowym i ubezpieczeniowym.

Biorąc pod uwagę oficjalne kontrole należy zwrócić uwagę na inny komunikat Prezesa UODO, który swojego czasu informował jakich dokumentów dotyczących RODO będzie wymagał.

Wedle komunikatu, zgodną z RODO dokumentację przetwarzania danych osobowych, która będzie jednocześnie instrumentem wykazującym zgodność wykonywanych czynności przetwarzania z przepisami prawa, występujące w dotychczasowej dokumentacji elementy należy uzupełnić o takie elementy jak:

  1. rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
  2. wytyczne dotyczące klasyfikacji naruszeń i procedurę zgłaszanie naruszenie ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
  3. procedurę na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie ich informowaniu o działaniach jakie powinni wykonać, aby ryzyko to ograniczyć – art. 34 RODO
  4. procedurę prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
  5. raport z przeprowadzonej, ogólnej analizy ryzyka;
  6. raport z ocen skutków dla ochrony danych – art. 35 ust. 7. – jeśli dotyczy;
  7. procedury związane z pseudonimizacją i szyfrowaniem – jeśli dotyczy;
  8. plan ciągłości działania – art. 32 ust 1 pkt b RODO;
  9. procedury odtwarzania systemu po awarii, oraz ich testowania – art. 32 ust 1 pkt c i d RODO.

W przypadku kontroli Prezesa UODO warto korzystać z pomocy specjalistów. Zapraszamy do kontaktu.