Agnieszka Zwierzyńska
Komunikat Urzędu Ochrony Danych Osobowych na temat planu kontroli sektorowych na 2024 rok powinien wzmóc czujność każdego przedsiębiorcy.
Zgodnie z komunikatem kontrole UODO w 2024 r. obejmą m.in.:
1. Organy przetwarzające dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym
2. Podmioty, które przetwarzają dane osobowe przy użyciu aplikacji internetowych (webowych) – sposób zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji – kontynuacja kontroli z 2023 r.
3. Prawidłowość spełniania obowiązku informacyjnego określonego w art. 13 i 14 RODO przez podmioty prywatne.
Kategoria „podmiotów przetwarzających dane przy użyciu aplikacji internetowych (webowych)”wydaje się szeroka. Zważywszy, że aplikacją internetową będzie zarówno aplikacja służąca do komunikowania się (np. Microsoft Teams), portal ePuaP umożliwiający załatwienie spraw administracyjnych, mapy online (np. Google Maps) czy aplikacja bankowa umożliwiająca płatności elektroniczne – trudno chyba o przykład firmy, która NIE przetwarza danych (np. pracowników, klientów) w takich aplikacjach.
Taki wniosek potwierdza sprawozdanie z działalności PUODO za 2022 r. (sprawozdanie za 2023 r. nie zostało jeszcze opublikowane), z którego wynika, że podmioty objęte kontrolą aplikacji (wówczas co prawda „mobilnych” a nie „internetowych”) w 2022 r. reprezentowałyróżne branże, tj.: medyczną, bankową, handlową, gastronomiczną, turystyczną, transportową, a także administrację rządową. Oznacza to, że w sumie każdy może się spodziewać kontroli w związku z użyciem „aplikacji internetowej”.
„Obowiązek informacyjny określony w art. 13 i 14 RODO” to z kolei tak zwane „klauzule informacyjne RODO”, najczęściej zaczynające się od słów: „Administratorem Twoich danych jest…” i wskazujące m.in. cele i podstawy przetwarzania danych. Tutaj również trudno pokusić się o przykład podmiotu prowadzącego działalność gospodarczą, który choć raz nie miał obowiązku wysłania takiej klauzuli. Dotyczy to nawet mikroprzedsiębiorców, których obowiązek informacyjny też obejmuje, choć w złagodzonej wersji.
Tymczasem najwyższa kara pieniężna nałożona przez PUODO na podmiot, który nie zrealizował prawidłowo obowiązku informacyjnego, wynosiła prawie 1 mln zł i choć została uchylona przez sąd, postępowanie w tej sprawie niewątpliwie było dotkliwe z uwagi na czas i koszty.
Za niespełnienie wymogów RODO w zakresie realizacji obowiązku informacyjnego grożą administracyjne kary pieniężne nakładane przez PUODO. Mogą one wynieść do 20 000 000 euro, a w przypadku przedsiębiorstwa – do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Jeśli chodzi o punkt 3, to przetwarzanie danych w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym było już w planie kontroli za 2022 r. Jak czytamy w sprawozdaniu z działalności PUODO za 2022 r.: „W trakcie kontroli szczególną uwagę poświęcono operacjom przetwarzania danych osób ubiegających się o wydanie wizy w punktach przyjmowania wniosków wizowych prowadzonych przez podmiot zewnętrzny, z którym Konsulat Generalny RP w Stambule współpracuje na podstawie umowy.” Tak więc w zakresie wiz prace trwają – i jak wiemy, prowadzi je nie tylko PUODO…
Jak się przygotować do kontroli ze strony Urzędu Ochrony Danych Osobowych?
- Warto sprawdzić, czy firma posiada klauzule informacyjne dla pracowników, klientów, kontrahentów i wszelkich innych osób fizycznych, których dane przetwarza. Nie wystarczy samo udostępnienie klauzul odpowiednim osobom – w razie ewentualnej kontroli konieczne jest wykazanie, że obowiązek został spełniony.
- Należy zweryfikować sposoby zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji internetowych.
Zapraszamy do kontaktu z nami – chętnie pomożemy we wszystkich kwestiach związanych z aktywnością UODO.