Czy kontrole RODO uderzą w polskich przedsiębiorców?

On 07/03/2019 by admin in Blog

Minęło już ponad 9 miesięcy od wejścia w życie RODO. Jak pokazuje praktyka – ignorowanie przez przedsiębiorców nowych przepisów może wiązać się z wyjątkowo dotkliwymi karami finansowymi. Dla przykładu, francuska spółka Optical Center, sprzedająca okulary przeciwsłoneczne w ramach prowadzonego sklepu internetowego, zmuszona była zapłacić karę w wysokości 250.000 euro za niedostateczne zabezpieczenie danych osobowych swoich klientów. Rekordową karę w wysokości 50 milionów euro za niezgodne z prawem przetwarzanie danych osobowych wymierzono niedawno Google LLC.

Najczęściej wykrywane nieprawidłowości dotyczą niewłaściwego pozyskiwania danych i zgód na ich przetwarzanie, błędnego konstruowania checkboxów oraz niewykonywania obowiązku informacyjnego.

W Polsce również trwają kontrole zgodności działań przedsiębiorców z RODO. Aktualnie głośno komentowane są sprawy dotyczące wycieku danych osób, które korzystały z usług sklepu morele.net. i serwisu FreshMail. Prezes Urzędu Ochrony Danych Osobowych (UODO) dr Edyta Bielak-Jomaa w jednym z materiałów prasowych potwierdziła, że „prowadzonych jest bardzo wiele postępowań. Kary z pewnością wkrótce się pojawią. Powinny być dotkliwe, jak wymaga tego samo rozporządzenie.” Poza doraźnymi kontrolami wywołanymi zgłaszanymi do Urzędu skargami UODO będzie teraz systematycznie sprawdzać realne przestrzeganie nowych przepisów.

W opublikowanym przez UODO planie kontroli na 2019 rok zapowiedziano wzmożone inspekcje podmiotów z sektora prywatnego. Kontrolerzy skoncentrują się przede wszystkim na takich obszarach jak: telemarketing, brokerzy danych, proces rekrutacji czy stosowanie monitoringu wizyjnego. Ostatnie dwie kategorie z uwagi na powszechność ich występowania dotyczyć będą większości przedsiębiorców, co oznacza, że każdy pracodawca zmuszony jest ze szczególną starannością przeanalizować stosowane w tym zakresie procedury.

Co istotne, od maja 2018 roku UODO wydał liczne wytyczne w zakresie stosowania RODO, w tym wskazówki dotyczące wykorzystywania monitoringu wizyjnego, poradnik dla pracodawców na temat ochrony danych osobowych w miejscu pracy czy wykaz rodzajów operacji wymagających oceny skutków przetwarzania danych osobowych. Dokumenty te nie istniały w chwili wejścia w życie RODO w maju ubiegłego roku, więc z pewnością nie zostały uwzględnione przy tworzeniu i dokumentowaniu procedur ochrony danych, dokonanym w tamtym czasie.

Z tego względu warto zweryfikować wdrożone w przedsiębiorstwie w maju ubiegłego roku dokumenty i procedury, przeprowadzając ich przegląd i aktualizację.

Autorzy: Jędrzej Brzykcy, Tomasz Wiese