Wstęp

Początek roku to moment ogłoszenia przez Urząd Ochrony Danych Osobowych planu kontroli, którym zostaną objęte wskazane podmioty przetwarzające dane osobowe. Ogłoszenie planu kontroli sektorowych to dla nich szansa na przyjrzenie się stosowanym procedurom i sprawdzenie ich zgodności z obowiązującymi przepisami prawa. Publikacja planu to także przypomnienie dla innych organizacji, które nie znalazły się na liście kontrolnej organu, że o zapewnienie bezpieczeństwa danych osobowych należy dbać w sposób ciągły, a proces ten wymaga systematycznych sprawdzeń przyjętych rozwiązań.

Urząd Ochrony Danych Osobowych opublikował plan kontroli sektorowych na 2025 r. Organ szczególną uwagę poświęci przede wszystkim podmiotom:

• przetwarzającym dane o stanie zdrowia (z uwzględnieniem sposobów zapewnienia bezpieczeństwa danych osobowych);
• przetwarzającym dane dzieci – ze skupieniem się na tych podmiotach, które przetwarzają wizerunek dzieci na podstawie zgody udzielonej przez rodziców lub prawnych opiekunów.

Podobnie jak w poprzednich latach skontrolowane zostaną również organy, które przetwarzają dane w Wielkoskalowych Systemach Unii Europejskiej (w tym przetwarzanie danych osobowych SIS/VIS – zgodnie z przepisami ustawy i aktów wykonawczych z tym zakresie).

Na liście kontrolnej Urzędu Ochrony Danych Osobowych pojawili się też administratorzy danych osobowych, którzy realizują obowiązek dokumentowania naruszeń ochrony danych osobowych. Zgodnie z art. 33 ust. 5 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r., zweryfikowane zostaną dokumenty opisujące okoliczności naruszenia, skutki dla ochrony danych osobowych oraz działania zaradcze, które zostały podjęte przez administratora.

Publikacja planu kontroli sektorowych organu nadzorczego w sprawach ochrony danych osobowych powinno zainteresować nie tylko podmioty uwzględnione na liście kontrolnej. Początek roku to dobry moment na przegląd procedur ochrony danych osobowych u każdego z podmiotów, który podlega przepisom wspomnianego powyżej rozporządzania. Warto zweryfikować procesy przetwarzania danych osobowych w rejestrach, sprawdzić aktualność zawartych umów na powierzenie danych osobowych. Coraz częściej słyszymy o pojawiających się nowych zagrożeniach cyberbezpieczeństwa, dlatego też  warto byłoby dokonać przeglądu i aktualizacji analizy ryzyka. Wiąże się to również z uaktualnieniem listy zabezpieczeń, jak i stosowanych w organizacji środków bezpieczeństwa. Wreszcie warto przyjrzeć się ważności wydanych uprawnień i upoważnień do przetwarzania danych osobowych. Działania takie winny być podejmowane w sposób cykliczny. W ten sposób  zwiększamy poziom bezpieczeństwa danych osobowych.

Ochrona danych osobowych to skomplikowany proces, który wymaga stałej pracy administratora danych osobowych, a także dbających o jego interesy inspektora ochrony danych osobowych. Pamiętajmy o tym – szczególnie w styczniu, kiedy to obchodzony jest Dzień Ochrony Danych Osobowych.

Źródło: https://uodo.gov.pl/pl/554/2750