Do końca czerwca do Urzędu Ochrony Danych Osobowych (UODO) wpłynęło ponad 750 skarg w związku z nieprzestrzeganiem przepisów o ochronie danych osobowych - poinformowała w środę prezes tego urzędu Edyta Bielak–Jomaa.

Od 25 maja w całej Unii Europejskiej obowiązuje ogólne rozporządzenie o ochronie danych osobowych (RODO), które ma zharmonizować przepisy o ochronie danych osobowych w Unii. Zakłada ono m.in. kary za naruszenia przepisów - do 20 mln euro lub 4 proc. całego obrotu firmy.

Prezes UODO poinformowała, że do końca czerwca do urzędu wpłynęło 756 skarg w związku z wprowadzeniem nowych przepisów. Podkreśliła, że do urzędu wpłynęło również o ponad 500 zgłoszeń o naruszeniach ochrony danych osobowych i ponad 600 pytań ws. stosowania przepisów.

Monika Krasińska z UODO zwróciła uwagę, że część informacji o nieprawidłowościach dotyczy kierowania korespondencji. "Jest ona kierowana omyłkowo, przesyłana do osób trzecich, nieuprawnionych. Ta korespondencja jest kierowana nie tylko poprzez korespondencję listowną, ale też w formie elektronicznej. Nierzadko są wciąż przypadki przesyłania zbiorczych baz mailingowych do adresatów" - powiedziała. Dodała, że zgłaszane są również nieprawidłowości w związku z zamieszczaniem informacji w Biuletynie Informacji Publicznej. Chodzi m.in. o brak anonimizacji dokumentu przed opublikowaniem.

Z kolei Paulina Dawidczyk z UODO zwróciła uwagę, że zgłoszenia dotyczą również służby zdrowia. Chodzi m.in. o nieuprawnione udostępnianie dokumentacji medycznej. "Najczęściej wynika to z błędu pracownika" - wyjaśniała. Dodała, że nieprawidłowości zdarzają się także w sytuacji zagubienia nośników informacji - dokumentów, czy laptopów.

Prezes UODO zapowiedziała, że urząd jest w trakcie aktualizacji poradnika, w którym znajdą się informacje m.in. o tym, jak prawidłowo przetwarzać dane pracowników (w tym zatrudnionych na umowach cywilnoprawnych, samozatrudnionych, pracowników delegowanych i cudzoziemców). "Chcemy przygotować taki materiał, który będzie pomocny pracodawcom, pracownikom, osobom zatrudnionym również na podstawie umów cywilnoprawnych" - wyjaśniała. W tym celu UODO rozpoczęło konsultacje. Zainteresowani mogą zgłaszać uwagi i postulaty pod adres zas@uodo.gov.pl do 17 sierpnia.

Dawidczyk przypomniała, że nowe przepisy wprowadziły zmiany w przetwarzaniu danych osobowych przy rekrutacji pracowników. "Pracodawca powinien się kierować zasadą minimalizacji danych adekwatności i celowości przetwarzania danych. Administrator powinien dbać o to, aby wszelkie dane były pozyskiwane tylko w celu niezbędnym do zatrudnienia pracownika. Absolutnie zakazane jest zbieranie danych na zapas i na wszelki wypadek" - mówiła. Zaznaczyła jednak, że pracodawca może zażądać od rekrutowanego pracownika dodatkowych danych, np. czy był on karany.

Jak podkreśliła Dawidczyk, pracodawca, aby przetwarzać dane rekrutowanego pracownika w przyszłości, musi mieć na to jego zgodę. "Jeżeli pracownik wyrazi zgodę, pracodawca - mimo zakończenia procesu rekrutacji - może tę aplikację pozostawić i wykorzystać w przyszłości" - wyjaśniała.

Piotr Drobek z UODO zwrócił uwagę na kwestie związane z ochroną danych osobowych pracownika, który został wysłany na badania lekarskie. "Pracodawca nie jest uprawniony do dostępu do danych medycznych w trakcie badania. On otrzymuje tylko zaświadczenie o zdolności do pracy" - mówił.

RODO zakłada m.in. prawo do bycia zapomnianym, czyli możliwość usunięcia, również z internetu, informacji na swój temat, jeśli nie są prawdziwe lub są obraźliwe, a także prawo do przenoszenia danych – można zażądać, aby każdy urząd albo bank, które mają nasze dane, przekazał je innemu urzędowi lub bankowi.

Nakłada także obowiązek powiadomienia o wycieku danych osobowych. Stanowi też, że przetwarzanie danych będzie możliwe za wyraźną zgodą tego, kogo dotyczą.

W maju podpisał ustawę ochronie danych osobowych, która ma zapewnić skuteczne stosowanie RODO w Polsce. Według nowych przepisów, prezes urzędu ochrony danych osobowych będzie mógł kierować do organów państwowych, samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych.

Będzie mógł również występować do organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych. Wzmocnieniu pozycji urzędu służyć mają także przyznanie prawa do przeprowadzania kontroli naruszenia zasad ochrony danych osobowych.

Wprowadzono również rozwiązania mające przyspieszyć postępowania w sprawach ochrony danych - zniesiono dwuinstancyjność postępowania w sprawach o naruszenie przepisów o ochronie danych osobowych. Wprowadzono także przepis, dzięki któremu podejmowana przez PUODO kontrola nie będzie mogła trwać dłużej niż miesiąc.