Kontrole RODO a przestrzeganie przepisów o ochronie danych osobowych

Kontrola UODO w 113 podmiotach

Od maja 2018 r. do sierpnia 2019 r. przeprowadzono 113 kontroli dot. przestrzegania przepisów ochrony danych osobowych. Dane dotyczą kontroli przeprowadzonych do 13 sierpnia 2019 r.

Kontrole w sektorze prywatnym

W sektorze prywatnym PUODO skontrolował kilkanaście podmiotów – dziewiętnaście spółek, trzy jednoosobowe działalności gospodarcze, wspólnotę mieszkaniową oraz serwis internetowy.

Wynik przeprowadzonych kontroli przez UODO

W ramach przeprowadzonych kontroli wszczęto siedem postępowań administracyjnych ws. naruszeń przepisów RODO. Co ważne – jedynie trzy postępowania zakończyły się wydaniem decyzji administracyjnej.

Pierwsza decyzja została wydana na podstawie uprawnień naprawczych (art. 58 ust. 2 lit. d i lit. i oraz art. ust. 5 lit. b RODO). Przedsiębiorca otrzymał nakaz dostosowania operacji przetwarzania do przepisów RODO wraz ze wskazaniem sposobu i terminu, w którym warunki mają zostać spełnione. W konsekwencji nałożono na niego karę w wysokości ok. miliona złotych w związku z przepisami dot. realizacji praw osób, których dane dotyczą. Druga kara dotyczyła związku sportowego i wyniosła 56 tysięcy złotych.

Najwyższa kara za nieprzestrzeganie przepisów RODO

Od maja 2018 r. odnotowano w Polsce łącznie trzy kary nałożone przez prezesa UODO. We wrześniu 2019 r. Prezes Urzędu Ochrony Danych Osobowych wydał decyzję o nałożeniu kary w rekordowej wysokości – 2,8 mln złotych. Zdaniem PUODO, Morele.net naruszyło poufność danych osobowych ponad 2 mln klientów. A w konsekwencji naraziło część z nich na ataki phishingowe poprzez niezachowanie odpowiedniej poufności w administrowaniu danymi osobowymi. Co ważne Morele.net dodatkowo nie uwzględniło ryzyka związanego z uzyskaniem nieuprawnionego dostępu do bazy danych.

Podejście oparte na ryzyku zobowiązuje przedsiębiorców do wdrożenia odpowiednich środków technicznych oraz organizacyjnych mających na celu zapewnienie odpowiedniego stopnia przetwarzanych danych, jak również ewentualnego stwierdzenia ryzyka. Ponadto, zdaniem PUODO, sklep internetowy powinien wdrożyć rozwiązania techniczno-organizacyjne mające na celu bezpieczeństwo, m.in.:

  • uwierzytelnianie dwuetapowe,
  • monitorowanie zdarzeń w systemach informacyjnych,
  • system reagowania na zdarzenia niepożądane (przykładowo – ruch sieciowy).

Plan kontroli na rok 2019

Na stronie UODO znajduje się plan kontroli sektorowych na rok 2019. Znajdziemy w nim spis sektorów, które będą podlegać kontroli:

  • publiczny,
  • prywatny,
  • organów ścigania,
  • zdrowia, zatrudnienia i szkolnictwa.

Obowiązki podmiotu kontrolowanego

Jedną z ważniejszych kwestii jest fakt, że kontrola może być niezapowiedziana. Podmiot kontrolowany ma obowiązek w godzinach od 6:00 do 22:00 udostępnić wstęp do budynków, lokali i pomieszczeń, a także dostęp do dokumentów i informacji, które związane są z prowadzoną kontrolą. Podstawą kontroli jest zapoznanie się z dokumentami oraz weryfikacja miejsc i środków, które wykorzystywane są do przetwarzania danych (np. narzędzia i systemy informatyczne). Kontroler może również zwrócić się z prośbą o sporządzenie kopii lub wydrukowanie dokumentów, które są dla niego interesujące, a także składania pisemnych lub ustnych wyjaśnień dot. weryfikowanej sprawy. Dodatkowo istnieje możliwość rejestrowania przebiegu kontroli (nagrywanie dźwięku lub obrazu), aczkolwiek podmiot musi zostać o tym wcześniej poinformowany. Pracownicy podmiotu, który podlega kontroli, mogą również zostać przesłuchani jako świadkowie.

Naruszenie przepisów RODO przez administratora lub podmiot przetwarzający podlega karze pieniężnej w wysokości do 10 mln euro. W przypadku przedsiębiorstwa jest to 2% (4% w przypadku poważnego naruszenia) rocznego obrotu z poprzedniego roku.

Jeśli masz pytania dotyczące funkcjonalności programu do RODO RODOprotektor – wyślij nam wiadomość!