Ustawodawca nie określił wprost zakresu działań, które może objąć kontrola prowadzona przez UODO. Wiadomo jednak, na jakie zagadnienia kontrolujący będą mogli zwrócić uwagę. Poniżej ich zestawienie.

1. Monitoring

• jeśli jest to uzasadnione bezpieczeństwem pracowników lub kontrolą produkcji, pracodawca może wprowadzić szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu (Kodeks pracy, art. 22.2 § 1.)

• pracodawca musi oznaczyć pomieszczenia i teren monitorowany w sposób widoczny i czytelny (Kodeks pracy, art. 22.2 § 9)

• jeżeli to niezbędne do prawidłowej organizacji czasu pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (Kodeks pracy, art. 22.3 § 1)

15 czerwca 2018 r. PUODO wydał wskazówki dotyczące wykorzystywania monitoringu wizyjnego. Zapoznać się z wskazówkami można tutaj >>>>>

Dlatego więc w zakresie monitoringu należy:

• zweryfikować, czy stosowane formy monitoringu pracowników są rzeczywiście niezbędne do realizacji stawianego przed nimi celu

• sprawdzić, czy stosowane są właściwe formy monitoringu (monitoring GPS nie będzie mógł być zastosowany w celu zapewnienia bezpieczeństwa pracowników czy też ochrony samochodu będącego własnością pracodawcy przed kradzieżą)

• upewnić się, że tylko te osoby, dla których jest do absolutnie niezbędne, mają dostęp do danych osobowych

Uwaga! Od maja kolejne zmiany w RODO – sprawdź jak przygotować się do kontroli przestrzegania przepisów >>

2. Upoważnienia do przetwarzania danych

• każdy podmiot, który ma dostęp do danych osobowych, przetwarza je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego (art. 29 rozporządzenie 2016/679 (RODO))

• dane osobowe muszą być przetwarzane wyłącznie na polecenie administratora (art. 32 rozporządzenie 2016/679 (RODO))

Zgodnie z zasadą rozliczalności oraz zasadą poufności i integralności danych osobowych, administrator danych osobowych odpowiada za ochronę danych przed niezgodnym z prawem przetwarzaniem oraz musi być w stanie wykazać, iż wywiązuje się z tego obowiązku. Brak udzielonych upoważnień i poleceń do przetwarzania danych osobowych lub nieprawidłowości w tym zakresie będą więc stanowiły bezpośrednie naruszenie obowiązków administratora danych osobowych.

3. Dokumentacja dotycząca ochrony danych osobowych

Aby zapewnić potrzebny poziom ochrony danych, administratorzy i podmioty przetwarzające dane osobowe powinni na bieżąco analizować, aktualizować i w miarę potrzeby wprowadzać nowe rozwiązania zabezpieczające przetwarzane przez nich dane osobowe.

Z wysokim stopniem prawdopodobieństwa można zakładać, że kontrolujący podczas jednej z pierwszych czynności zażądają dostępu do całości dokumentacji z zakresu ochrony danych osobowych oraz jej skopiowania lub wydruku. Nie wystarczy samo wprowadzenie regulacji z zakresu ochrony danych osobowych. Konieczne jest ich wdrożenie i stosowanie w codziennej pracy.

4. Dokumentacja osobowa

Jednym z podstawowych obowiązków pracodawcy jest przechowywanie dokumentacji pracowniczej w sposób gwarantujący zachowanie jej poufności, integralności oraz dostępności. Warunki, w których jest przechowywana dokumentacja musi nie grozić uszkodzeniem lub zniszczeniem przez okres zatrudnienia, a także przez okres 10 lat, licząc od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł, chyba że odrębne przepisy przewidują dłuższy okres przechowywania dokumentacji pracowniczej.

5. Korzystanie z usług podmiotów trzecich

• jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi i chroniło prawa osób, których dane dotyczą (art. 28 (1) rozporządzenie 2016/679 (RODO))

Administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Podmiot przetwarzający to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Czytaj też: RODO 2019 - plusy i minusy

6. Rejestr naruszeń

• w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki, w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeni naruszenia zgłasza je organowi nadzorczemu (art. 33 (1) 2016/679 (RODO))

• do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia (art. 33 (1) 2016/679 (RODO))

Nie w każdym przypadku zaistnienie naruszenia ochrony danych osobowych będzie wymagało zgłoszenia tego faktu do PUODO i powiadomienia podmiotów danych. W przypadku, gdy jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, administrator powinien niezwłocznie podjąć stosowne środki nakierowane na usunięcie skutków naruszenia i ochronę praw osób, których dane dotyczą.

7. Niszczenie dokumentacji

Niszczenie dokumentów zawierających dane osobowe powinno być potwierdzone protokołem brakowania. W protokole powinien znaleźć się opis niszczonych nośników z danymi osobowymi, wskazanie osób, których dane dotyczą, określenie kategorii danych osobowych, nazwa zbioru danych osobowych, podstawa prawna do usunięcia danych ze zbioru oraz opis, w jaki nastąpi zniszczenie nośników z danymi osobowymi.

Niszczenie danych osobowych stanowi czynności przetwarzania danych osobowych i w pełnym zakresie w stosunku do nich są stosowane przepisy RODO.

8. Zabezpieczenie przetwarzanych danych osobowych

Administrator w celu rzetelnego wypełnienia obowiązków nałożonych na niego przez przepisy dotyczące ochrony danych osobowych powinien:

• zdiagnozować ryzyka związane z przetwarzaniem przez niego danych osobowych

• przeanalizować dostępne środki ograniczenia ryzyka naruszenia ochrony danych osobowych

• wprowadzić ww. środki do swoich procesów przetwarzania danych

• korzystać z usług podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych

• dysponować i wdrożyć odpowiednią dokumentację.

Z pewnością będą to podstawowe elementy, jakie będą weryfikowane przez PUODO w czasie kontroli.