Subskrybuj nas na Youtube
Ustawodawca nie określił wprost zakresu działań, które może objąć kontrola prowadzona przez UODO. Wiadomo jednak, na jakie zagadnienia kontrolujący będą mogli zwrócić uwagę. Poniżej ich zestawienie.
1. Monitoring
• jeśli jest to uzasadnione bezpieczeństwem pracowników lub kontrolą produkcji, pracodawca może wprowadzić szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu (Kodeks pracy, art. 22.2 § 1.)
• pracodawca musi oznaczyć pomieszczenia i teren monitorowany w sposób widoczny i czytelny (Kodeks pracy, art. 22.2 § 9)
• jeżeli to niezbędne do prawidłowej organizacji czasu pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (Kodeks pracy, art. 22.3 § 1)
15 czerwca 2018 r. PUODO wydał wskazówki dotyczące wykorzystywania monitoringu wizyjnego. Zapoznać się z wskazówkami można tutaj >>>>>
Dlatego więc w zakresie monitoringu należy:
• zweryfikować, czy stosowane formy monitoringu pracowników są rzeczywiście niezbędne do realizacji stawianego przed nimi celu
• sprawdzić, czy stosowane są właściwe formy monitoringu (monitoring GPS nie będzie mógł być zastosowany w celu zapewnienia bezpieczeństwa pracowników czy też ochrony samochodu będącego własnością pracodawcy przed kradzieżą)
• upewnić się, że tylko te osoby, dla których jest do absolutnie niezbędne, mają dostęp do danych osobowych
2. Upoważnienia do przetwarzania danych
• każdy podmiot, który ma dostęp do danych osobowych, przetwarza je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego (art. 29 rozporządzenie 2016/679 (RODO))
• dane osobowe muszą być przetwarzane wyłącznie na polecenie administratora (art. 32 rozporządzenie 2016/679 (RODO))
Zgodnie z zasadą rozliczalności oraz zasadą poufności i integralności danych osobowych, administrator danych osobowych odpowiada za ochronę danych przed niezgodnym z prawem przetwarzaniem oraz musi być w stanie wykazać, iż wywiązuje się z tego obowiązku. Brak udzielonych upoważnień i poleceń do przetwarzania danych osobowych lub nieprawidłowości w tym zakresie będą więc stanowiły bezpośrednie naruszenie obowiązków administratora danych osobowych.
3. Dokumentacja dotycząca ochrony danych osobowych
Aby zapewnić potrzebny poziom ochrony danych, administratorzy i podmioty przetwarzające dane osobowe powinni na bieżąco analizować, aktualizować i w miarę potrzeby wprowadzać nowe rozwiązania zabezpieczające przetwarzane przez nich dane osobowe.
Z wysokim stopniem prawdopodobieństwa można zakładać, że kontrolujący podczas jednej z pierwszych czynności zażądają dostępu do całości dokumentacji z zakresu ochrony danych osobowych oraz jej skopiowania lub wydruku. Nie wystarczy samo wprowadzenie regulacji z zakresu ochrony danych osobowych. Konieczne jest ich wdrożenie i stosowanie w codziennej pracy.
4. Dokumentacja osobowa
Jednym z podstawowych obowiązków pracodawcy jest przechowywanie dokumentacji pracowniczej w sposób gwarantujący zachowanie jej poufności, integralności oraz dostępności. Warunki, w których jest przechowywana dokumentacja musi nie grozić uszkodzeniem lub zniszczeniem przez okres zatrudnienia, a także przez okres 10 lat, licząc od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł, chyba że odrębne przepisy przewidują dłuższy okres przechowywania dokumentacji pracowniczej.
5. Korzystanie z usług podmiotów trzecich
• jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi i chroniło prawa osób, których dane dotyczą (art. 28 (1) rozporządzenie 2016/679 (RODO))
Administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Podmiot przetwarzający to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Czytaj też: RODO 2019 - plusy i minusy
6. Rejestr naruszeń
• w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki, w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeni naruszenia zgłasza je organowi nadzorczemu (art. 33 (1) 2016/679 (RODO))
• do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia (art. 33 (1) 2016/679 (RODO))
Nie w każdym przypadku zaistnienie naruszenia ochrony danych osobowych będzie wymagało zgłoszenia tego faktu do PUODO i powiadomienia podmiotów danych. W przypadku, gdy jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, administrator powinien niezwłocznie podjąć stosowne środki nakierowane na usunięcie skutków naruszenia i ochronę praw osób, których dane dotyczą.
7. Niszczenie dokumentacji
Niszczenie dokumentów zawierających dane osobowe powinno być potwierdzone protokołem brakowania. W protokole powinien znaleźć się opis niszczonych nośników z danymi osobowymi, wskazanie osób, których dane dotyczą, określenie kategorii danych osobowych, nazwa zbioru danych osobowych, podstawa prawna do usunięcia danych ze zbioru oraz opis, w jaki nastąpi zniszczenie nośników z danymi osobowymi.
Niszczenie danych osobowych stanowi czynności przetwarzania danych osobowych i w pełnym zakresie w stosunku do nich są stosowane przepisy RODO.
8. Zabezpieczenie przetwarzanych danych osobowych
Administrator w celu rzetelnego wypełnienia obowiązków nałożonych na niego przez przepisy dotyczące ochrony danych osobowych powinien:
• zdiagnozować ryzyka związane z przetwarzaniem przez niego danych osobowych
• przeanalizować dostępne środki ograniczenia ryzyka naruszenia ochrony danych osobowych
• wprowadzić ww. środki do swoich procesów przetwarzania danych
• korzystać z usług podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych
• dysponować i wdrożyć odpowiednią dokumentację.
Z pewnością będą to podstawowe elementy, jakie będą weryfikowane przez PUODO w czasie kontroli.