Plan kontroli sektorowych
Jak większość urzędów, w tym w szczególności urzędów nadzorczych, także Urząd Ochrony Danych Osobowych wyznacza sobie konkretne cele na kolejne lata.
Krótka informacja na stronie Urzędu, opublikowana 18 stycznia 2023 r., nazwana enigmatycznie planem kontroli sektorowych UODO na 2023 rok, głosi, że szczególny plan kontroli UODO na rok 2023 obejmować będzie:
- organy przetwarzające dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym;
- podmioty przetwarzające dane osobowe przy użyciu aplikacji mobilnych;
- podmioty przetwarzające dane osobowe przy użyciu aplikacji internetowych (webowych)
Skupienie organu nadzorczego na kwestiach aplikacji nie dziwi, tym bardziej, że w jednym ze swoich ostatnich publicznych wystąpień, Prezes Urzędu Ochrony Danych Osobowych wspomniał, że „zdobycze technologii stwarzają zagrożenia, których możemy nie dostrzegać. I choć wyzwań dla ochrony danych osobowych w szybko rozwijającym się technologicznie świecie nie brakuje, to nie jesteśmy względem nich bezbronni”.
Taką bronią mogą być również wzmożone kontrole.
Jak było wcześniej?
Rok temu kontrole sektorowe według planu PUODO miały obejmować te same podmioty co w 2023 roku, z wyjątkiem podmiotów korzystających z aplikacji internetowych. Dodatkowym sektorem, któremu PUODO miało się przyjrzeć, był system bankowości.
Zastanawiając się nad realizacją przez PUODO swoich założeń, warto zauważyć, że rzeczywiście, jedną z pierwszych wydanych w 2022 r. decyzji Prezesa Urzędu Ochrony Danych Osobowych była decyzja nr DKN.5131.33.2021 nakładająca na Santander Bank Polska karę administracyjną w wysokości 545.000 zł.
Kara została nałożona ze względu na niezgłoszenie do organu nadzorczego naruszenia ochrony danych osobowych – były pracownik banku, mimo zwolnienia z pracy, zachował dane dostępowe do systemów zawierających dane osobowe innych pracowników banku. Zdaniem PUODO, administrator w sposób nieuzasadniony uznał, że naruszenie nie spowodowało wysokiego ryzyka praw lub wolności osób fizycznych i nie zawiadomił o naruszeniu PUODO.
Powyższa kara dla banku nałożona w 2022 r., podczas obowiązywania poprzedniego planu kontroli sektorowych, może świadczyć o tym, że rzeczywiście w swojej działalności PUODO skupia się na konkretnych sektorach wskazanych na początku roku.
W jaki sposób przygotować się do ewentualnej kontroli?
Zapowiedzi PUODO nie zawierają póki co rozwinięcia, poza ogólnikowym stwierdzeniem, że kontroli podlegać będzie sposób zabezpieczenia i udostępnienia danych osobowych przetwarzanych w związku z użytkowaniem aplikacji.
Po pierwsze, co oczywiste, uważać powinni twórcy aplikacji. Twórca aplikacji, zarówno mobilnych i jak i webowych, zobowiązany jest do ochrony danych osobowych na poziomie co najmniej zgodnym z postanowieniami RODO. Obejmuje to w szczególności:
– zasadę minimalizacji danych oraz sposobów ich przetwarzania,
– zasadę przejrzystości i dostępności dokumentów takich jak Polityka prywatności czy Regulamin aplikacji, ich umiejscowienie w intuicyjnym dla użytkowników miejscu,
– realizację obowiązków informacyjnych;
– przechowywanie danych w aplikacji przez jak najkrótszy czas,
– stosowanie środków bezpieczeństwa zwiększających poziom ochrony, takich jak połączenia szyfrowane, pseudonimizacja danych czy wymuszanie cyklicznej zmiany haseł,
– stosowanie zasad privacy by default oraz privacy by design już na etapie projektowania aplikacji,
– weryfikacja i ograniczenie dostępu do aplikacji przez podmioty zewnętrzne,
– ograniczenie transferu danych do państw trzecich.
Jednocześnie wydaje się, że kontrole PUODO mogą mieć szerszy charakter, obejmując również te podmioty, które korzystają z dostępnych na rynku aplikacji, na przykład poprzez ich wykorzystanie w miejscu pracy, a nie tylko twórców aplikacji. PUODO wskazuje, że kontrolować zamierza nie tworzenie aplikacji, a ich użytkowanie.
Przed wdrożeniem aplikacji, np. komunikatora czy też aplikacji pozwalającej korzystać pracownikom z dodatkowych benefitów, systemu parkingów czy aplikacji wspomagającej dział HR w przechowywaniu i analizie dokumentów pracowniczych czy księgowych, należy pamiętać o przeprowadzeniu analizy ryzyka, czyli DPIA. W ramach przeprowadzonej analizy istotne jest nie tylko wyznaczenie ewentualnych ryzyk, ale również środków organizacyjnych i technicznych stosowanych w danej organizacji, które powodują minimalizację szans na ewentualne naruszenie praw podmiotów danych.
Pracodawca każdorazowo zobowiązany jest do weryfikacji czy aplikacja, którą planuje wdrożyć, spełnia wymogi dotyczące ochrony danych osobowych.
Wnioski
Plan kontroli sektorowych to rodzaj wytycznych, przede wszystkim dla samego Urzędu. Może to być jednak pewien wyznacznik dla uczestników rynku. Oczywiście, nie chodzi o to, że kontrole PUODO w tym roku dotyczyć będą wyłącznie aplikacji, natomiast takie ujęcie planowanych działań powinno stanowić sygnał ostrzegawczych dla tych, którzy w swojej działalności korzystają z aplikacji mobilnych czy internetowych.
Biorąc pod uwagę powszechność stosowania nowych technologii, warto sprawdzić w jaki sposób chronimy dane osobowe w swojej firmie – jakich aplikacji używamy, w jaki sposób działa nasza strona internetowa i z jakich narzędzi marketingowych korzystamy.
aplikantka adwokacka
Źródła:
1) plan kontroli sektorowych UODO na 2023 r.
