Prezes UODO opublikował na swojej stronie internetowej plan kontroli obszarowych na rok 2019. Podmioty działające w obszarach, które zostały wyszczególnione w wykazie powinny być w szczególności gotowe do wykazania posiadania sprawnego i zgodnego z prawem systemu ochrony danych osobowych. S ą to przede wszystkim spółdzielnie mieszkaniowe oraz gminy w zakresie sektora publicznego oraz formy telemarketingowe i handlarze danymi osobowymi z sektora prywatnego.
Nie wyklucza to oczywiście kontroli w innych obszarach. Należy pamiętać, że Prezes UODO poza planowymi kontrolami reaguje także na bieżące sytuacje oraz zawiadomienia. Tych było w ciągu pierwszych trzech miesięcy funkcjonowania RODO zgodnie z oświadczeniami urzędników około 2.400, a ich liczba ma stare rosnąć.
PLAN KONTROLI PREZESA UODO NA ROK 2019
SEKTOR PUBLICZNY
I. Miejski monitoring wizyjny (kontynuacja kontroli sektorowych z 2018 r.)
II. Udostępnianie danych w Biuletynie Informacji Publicznej oraz sposób wysyłania korespondencji zawierającej dane osobowe
III. Sposób prowadzenia rejestru czynności przetwarzania danych osobowych i sposób dokumentowania przez administratora danych naruszeń ochrony danych osobowych
IV. System identyfikacji i monitoringu odpadów
V. Sposób prowadzenia i zabezpieczenia przez spółdzielnie mieszkaniowe rejestru członkówSEKTOR PRYWATNY
I. Telemarketing
II. Brokerzy danych w zakresie podstaw prawnych przetwarzania danych osobowych
III. Profilowanie w sektorze bankowym i ubezpieczeniowym.
Biorąc pod uwagę oficjalne kontrole należy zwrócić uwagę na inny komunikat Prezesa UODO, który swojego czasu informował jakich dokumentów dotyczących RODO będzie wymagał.
Wedle komunikatu, zgodną z RODO dokumentację przetwarzania danych osobowych, która będzie jednocześnie instrumentem wykazującym zgodność wykonywanych czynności przetwarzania z przepisami prawa, występujące w dotychczasowej dokumentacji elementy należy uzupełnić o takie elementy jak:
- rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
- wytyczne dotyczące klasyfikacji naruszeń i procedurę zgłaszanie naruszenie ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
- procedurę na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie ich informowaniu o działaniach jakie powinni wykonać, aby ryzyko to ograniczyć – art. 34 RODO
- procedurę prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
- raport z przeprowadzonej, ogólnej analizy ryzyka;
- raport z ocen skutków dla ochrony danych – art. 35 ust. 7. – jeśli dotyczy;
- procedury związane z pseudonimizacją i szyfrowaniem – jeśli dotyczy;
- plan ciągłości działania – art. 32 ust 1 pkt b RODO;
- procedury odtwarzania systemu po awarii, oraz ich testowania – art. 32 ust 1 pkt c i d RODO.
W przypadku kontroli Prezesa UODO warto korzystać z pomocy specjalistów. Zapraszamy do kontaktu.
